失敗登錄時應向用戶顯示多少信息？

Question

如果用戶試圖登錄我的網站（用戶名和密碼），但失敗，我應該顯示什麼字段不正確？或者，我是否應該簡單說明他們的憑據是無效的？

如果我正在處理合法用戶，那麼向他們顯示哪些字段不正確會更有幫助。但是，如果一個非法用戶試圖違反登錄，那麼只顯示證書無效是更加安全的。

所以，我想知道這個問題是否有確定的答案。是否有任何已知的最佳做法來處理這個問題？或者，是否根據網站的敏感性來考慮已知的利弊，並作出決定？

Answer 1

默認情況下，最佳做法是響應用戶名/密碼組合不正確。這被認爲是面向公衆登錄的最佳實踐。如果您正在處理內部網站，則可以提供更多信息。

如果您要回複用戶名是正確的，但密碼錯誤，您允許惡意用戶知道他們有一個有效的用戶名並從那裏繼續猜測密碼。

Answer 2

在網站上進行了大量的「道德黑客行爲」之後，我在推薦過程中一直儘可能少地展示。因此，如果用戶名或密碼失敗，只會顯示「登錄失敗」等內容。

Answer 3

我認爲，如果用戶得到了任何錯誤，那可能意味着他也犯了另一個錯誤，所以你應該告訴他「重新檢查一切」。

此外，如果您通知用戶用戶名或密碼錯誤，也就是說對方是對的，如果他是惡意用戶，那麼您正在幫助他。