成功登录后，是否有任何原因不显示用户错误输入的密码？

#1 楼

主要问题是必须以某种方式存储不正确的密码，以便以后将其显示给用户。正如您的开发人员所指出的，这意味着它们不能首先被加密地进行哈希处理。结果是您将它们存储为纯文本格式（错误）或加密格式（更好，但通常不建议使用）。

最大的风险是攻击者可以访问此无效密码数据库。他们要么危及服务器，执行SQL注入或以其他方式检索它。他们可以使用无效密码历史记录中的信息来决定破坏帐户，而不是破解可能被高度哈希化并因此目标更严格的主密码。他们要么很容易访问纯文本密码，要么试图找到允许他们解密回纯文本密码的加密密钥。

登录失败的常见原因是在密码输入过程中输入错误。所以我的密码是Muffins16，但是我输入了mUFFINS16，因为我的大写锁定处于打开状态。还是Muffins166，因为我两次按下相同的键。还是Muffina16，因为我的手指碰错了键。如您所见，这些变体与原始变体足够接近，攻击者可能可以通过尝试一些较小的更改或将错误的密码与可能的词典单词或名称进行比较来从无效密码中确定有效密码。

此问题由于大多数人都使用与这些格式相似的密码选择，而不是随机字符串，因此情况更加恶化。如果您的无效密码为V8Az $ p4 / fA，对于攻击者来说，很难识别出打字错误，尽管尝试进行各种更改然后在没有任何信息的情况下进行猜测仍然容易得多。

另一个风险是，用户可能不记得在此站点上使用了哪些密码，因此他们尝试使用常见的密码。现在，此站点突然成为一个更大的目标，因为攻击者不仅可以利用那里的“无效”密码列表来破坏用户的帐户，而且还可以在其他站点上破坏用户的帐户。

您可以减轻一些威胁在有效登录后显示后立即擦除无效密码的存储可能会带来这些风险。这应该限制了攻击者访问数据并从中受益的机会之窗。

您可能应该问您的客户端的问题是，他们如何预测用户看到无效密码会从中受益。这样一来，用户就可以识别出他们输错密码的方式吗？打字错误不是故意的，因此向他们显示错误不会改善将来的登录尝试。这样，用户可以识别试图猜测其密码的攻击者吗？可以通过列出日期，时间，IP /地理位置或其他信息（对于没有尝试密码的无效尝试）提供类似的反馈。因此用户知道他们在输入密码时搞砸了，并且不怪网站的登录系统吗？这似乎是唯一具有优点的方法，我不确定它是否能提供足够的价值来证明风险。

我的猜测是，一旦您更好地了解了他们正在尝试使用此功能完成的工作，可能会建议更安全的选择。

#2 楼

tldr;这比不散列密码并将其存储为纯文本格式更为糟糕。

我同意您的主要开发人员的担心。为了显示过去不正确的密码尝试，您必须以可逆方式存储它们，这意味着它们不能被散列。如果有人破坏了系统，那么他们将可以访问所有错误尝试，并且可能会拼凑某些用户的真实密码。例如，如果您可以看到我的一些不良尝试：

correct horrse battery staple
correct horse batttery staple

弄清楚我的实际密码将非常容易。

我也同意drewbenn的回答：如果我输入的用户名不正确，但输入的密码正确，而错误的用户名恰好是其他人的用户名，则该用户可以看到我的真实密码。

#3 楼

一旦我尝试使用密码而不是同事的用户名登录系统。

然后，在尝试登录共享帐户时，我总是会使用错误的密码。

而且我知道很多管理员都可以访问其老板的帐户，以便他们可以完成工作。如果他们的老板从未输入过错误的密码，然后在正确登录以清除错误之前被访客分心，我会感到非常震惊。

加上有人在我站在我肩膀上时出现的所有错字正在登录。

在所有这些情况下，有时我会在工作时在密码提示中输入我的gmail或lastpass密码，反之亦然。

我用密码搜索谷歌的时间是因为我没有看着屏幕，只是认为它已被锁定。并不是说这与您的建议有任何关系，而是我喜欢分享这个轶事，因为它提醒人们每个人都可能犯错，有时还会输入错误的内容。

此hUnt3r2feature唯一要做的就是将小错误（输入错误的密码或输入错误的密码）转变为更广泛的受众意外接触。

#4 楼

声誉损失
考虑到在许多情况下使用失败的登录尝试来攻击其他站点的情况，采用这种机制将立即导致声誉损失。这是一个示例：

马克（扎克伯格）使用他的网站TheFacebook.com来查找该网站的成员，这些成员将自己标识为绯红色的成员。然后，他检查了登录失败的日志，以查看是否有任何Crimson成员曾经在TheFacebook.com中输入错误的密码。如果他们输入的案例登录失败，则Mark尝试使用它们访问Crimson成员的哈佛电子邮件帐户。他成功访问了其中两个。
换句话说，马克似乎使用了来自TheFacebook的私人登录数据来入侵某些TheFacebook用户的单独电子邮件帐户。

来源：马克·扎克伯格入侵哈佛深红色
替代方法
如果您的客户全心全意地尝试在下次成功登录时显示失败的登录尝试（作为一种很好的措施），我是否可以建议替代方法？不用显示失败的密码，而是显示提交错误密码的浏览器的IP地址和地理位置信息。应该相当容易做到，不会引起安全问题，并且在实际恶意活动的情况下会提供更多有用的信息。

#5 楼

出于安全原因，请不要这样做：错误的登录垃圾邮件。

我对您的应用程序运行了电子邮件/用户名列表。我尝试使用相同的“密码”登录每个帐户。也许是一个冒犯性的短语；政治口号，或仅仅是某个网站的广告。

然后您的每个用户登录时，使用我猜想的用户名/电子邮件被迫查看我输入的内容。

它为每个匿名人员提供了一个访问方向向用户显示内容。

如果每个同事都使用该服务，并且他们可能会猜中彼此的登录名，这甚至可能导致骚扰或其他工作场所人为问题。

#6 楼

当我想与您的同事坐在一起时要登录您的应用程序会怎样？假设我输错了密码。现在我是否需要在登录时将他送走，以免他看不到我的密码？

#7 楼

如果有具有相似用户名/电子邮件地址的用户，他们可能会意外地尝试登录另一个用户的帐户。

然后，恶意用户可能会使用其“不正确”密码尝试列表来侵入具有相似用户名/电子邮件地址（例如bill11，bill1等）的帐户。

我认为最好只列出错误和成功的登录尝试以及时间和相关的IP地址。

#8 楼

我同意其他答案，指出如果攻击者掌握了失败尝试的列表，则可以轻松猜测用户的密码。

在这种情况下，您的系统不包含任何货币交易信息都没关系。用户通常在多个站点上使用相同的密码或相同密码的变体。建议他们不要这样做，但是还是会发生。因此，仅因为您不觉得您的系统本身就公开了敏感信息，并不意味着如果您的系统受到威胁，您的用户的敏感信息也不会受到威胁。

如果Joe User在您的系统上使用了相同的密码就像他用于银行的系统一样，如果攻击者能够在您的系统上猜出他的密码并弄清楚Joe使用了什么银行，那么攻击者就可以访问Joe的银行帐户。或病历，或任何其他系统，乔（Joe）都在使用该密码。

您不仅在保护系统密码。

#9 楼

我怀疑您的客户患有XY问题。这意味着退后一步，尝试弄清楚客户的真正需求。通常，知道有人尝试输入错误的密码以及如何输入此密码（不一定是该密码是什么）很有用。也许客户只是希望有足够的信息来区分良性威胁（例如，用手指粗暴地指望自己的密码）和更可疑的威胁（例如，在从未登录过的设备上从全国各地猜测密码）。

，所以向您的客户端询问威胁模型，并查看以下信息是否足够：


身份验证失败的用户ID（以便您知道每次失败时应向谁发出警告） ）
日期和时间
客户端IP地址，用户代理和大致地理位置
客户端是否运行JavaScript（攻击者通常不会打扰）
客户端是否提供了Cookie曾经成功登录过

，然后当用户在一次或多次失败后成功登录时，会基于此信息显示警告框。

#10 楼

我不愿意在这里补充本已很好的答案，但是还有另一个重要的观点。除非您绝对确定用户仅通过HTTPS连接到该站点（并且实际上，甚至还没有，否则），您甚至都永远不会有机会显示错误的密码...，因为它们永远不会在密码中传输（无论是否加密）。第一名。客户端系统应该只传输盐腌哈希，而不是实际密码（在适当的实现中，以确保哈希本身不会成为密码，即可以被窃取和重用的密码），以防止窃听攻击。 br />
网站不在处理金融交易也没关系。您仍然不希望它成为某些链条中最薄弱的环节。

所以我完全同意您的首席开发人员。我会为此而抗争。

#11 楼

可能的解决方案：由于这里的关注点在于以明文形式存储错误的密码尝试，因此请避免这种情况。设置用户密码后，生成公用密钥和专用密钥对。存储用密码加密的公钥和私钥。记录不正确的密码时，请使用公共密钥加密它们（并添加盐）。这样，只有知道正确密码的用户才能看到错误密码。

#12 楼

您的系统将具有大型的可解密密码数据库。查找用户X的错误密码，您将获得X帐户几乎但不是完全正确的密码，用户X的不同帐户的正确密码，以及用户名与X几乎相同的用户的帐户的正确密码。

合理假设黑客可能会闯入您的系统并获得数据库的解密副本，这将是灾难性的。即使假设错误的人对您的系统的访问不太重要，该数据库也将包含不同系统的用户密码，这可能更为重要。

#13 楼

在我看来，在正确构造的身份验证中，用户输入的密码甚至都不会传输到主机站点，因此存储不正确尝试的问题就没有意义了。

拥有一个界面中的“查看密码”复选框，
严格是本地功能，可以在键入密码
或尝试失败后使用。可能应该在短时间后擦除保存的信息
，以防止从废弃的控制台中获取密码。