Вопрос: Могу ли я настроить OWA (2010), чтобы указать пользователю, когда их учетная запись заблокирована?


Когда один из наших пользователей пытается войти в OWA, когда их учетная запись заблокирована, они получают сообщение о том, что их имя пользователя или пароль были неверными. Можно ли настроить OWA так, чтобы он сообщал им, заблокирована ли их учетная запись?


5
2017-07-17 17:02


Источник




Ответы:


Нет, возможно, из соображений безопасности. Пользователи не должны знать этого факта. Ну, пользователь может захотеть узнать, но HACKER, который пытается войти в систему, поскольку пользователь должен знать, что его попытка пароля не была отклонена за неправильный пароль, а потому, что он заблокирован.

Основная безопасность 101 - предоставить хакеру как можно меньше информации.


5
2017-07-17 17:16



Точно так же, как если пароль введен неправильно, но в диалоговом окне указано «имя пользователя или пароль не распознан», он дает кому-то, кто пытается получить несанкционированный доступ, не знаю, какая часть у них неправильная. - DanBig
В точку. Как можно меньше информации. - TomTom
Я получаю рассуждения позади этого, но это довольно неприятно с точки зрения конечного пользователя, и количество дополнительной защиты, которую оно обеспечивает, минимально. Очень вероятно, что имя пользователя будет известно хакеру, если это не общая грубая сила, и в этом случае политика паролей и локаутов должна обеспечивать надежную защиту. Edit: У вас есть ссылка, которую вы можете назвать, случайно? Я бы хотел показать что-то руководству. Благодаря! - bshacklett
На самом деле это не минимально. это КЛЮЧ, чтобы привести грубые попытки взлома паролей непосредственно в медленную смерть. Если вы подумаете об этом еще раз, вы поймете, насколько плохо ваше утверждение о предельной безопасности. - TomTom
Как знание о блокировке учетной записи помогает в попытке грубой силы? Как только он заблокирован, эта попытка завершена, и злоумышленник должен перейти к другому методу. С учетом разумных требований сложности мне трудно поверить, что это в значительной степени вызывает беспокойство. Злоумышленнику повезло бы получить 100 паролей в секунду через приглашение OWA, и кто-то скоро получит звонок, чтобы сервер перегружался в этом случае. Это предполагает, что политика локаута отсутствует. - bshacklett