การรวบรวมชื่อบัญชีผู้ใช้โดยจากฟังก์ชันการเปลี่ยน “UserID”
Information Gathering
อธิบาย (Description)
เป็นการรวบรวมข้อมูลชื่อบัญชีผู้ใช้ (Username) โดยใช้ข้อมูลตอบกลับจากเครื่องให้บริการ (Server) ที่บ่งบอกให้ผู้ใช้ทราบว่า บัญชีผู้ใช้ (Username) ดังกล่าวมีอยู่ในระบบ
วิธีการรวบรวมบัญชีผู้ใช้ (Username) สามารถทำได้โดยการกรอกบัญชีผู้ใช้ใหม่เพื่อทำการเปลี่ยนชื่อบัญชีผู้ใช้และตรวจสอบดูว่าระบบแจ้งว่าบัญชีผู้ใช้ซ้ำ หรือมีอยู่ในฐานข้อมูลหรือไม่
ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)
- ชื่อบัญชีผู้ใช้ง่ายต่อการคาดเดาระบบ เช่น เบอร์โทรศัพท์ หมายเลขบัตรประชาชน ชื่อบัญชีผู้ใช้ตั้งแต่ติดตั้งระบบ (Default username) หรือ อีเมลล์
- ไม่มีการป้องกันการโจมตีโดยเครื่องมืออัตโนมัติ (Automated tools)
วิธีแก้ไข (Solution)
การแก้ไขมีทางเลือกหลายทางเพื่อพิจารณาร่วมกันดังนี้
- ใช้ CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart)
- ใช้ OTP (One Time Password)
- จำกัดจำนวนครั้งต่อ เดือน / ปี สำหรับการเปลี่ยนแปลงชื่อบัญชีผู้ใช้
- หรือใช้การล็อกบัญชีผู้ใช้เมื่อมีความพยายามเปลี่ยนแปลงเกินกว่ากำหนด เป็นต้น
- อาจตรวจสอบปฎิเสธการให้บริการชั่วคราว จาก “IP Address” ซ้ำ ๆ ที่ร้องขอลงทะเบียนหรือตรวจสอบชื่อบัญชีผู้ใช้จำนวนมาก เช่น 20 ครั้งใน 1 นาทีเป็นต้น