在Empower中，因登录尝试无效而显示的消息是否有变化？ - WKB246248

环境

是的，自Empower 3 Feature Release 5 (FR5) 后，输入 invalid username（无效用户名）和输入 valid username（有效用户名）但输入错误密码时显示的消息是相同的。

屏幕显示信息显示“用户 'XXXXXXX' 验证失败。”

在 E3FR5 之后，出于安全原因有意进行此更改。

防止用户枚举 - 如果我们区分了“找不到用户”、“密码错误”或“帐户已锁定”，攻击者可以使用这些消息来确认哪些用户名有效并探测帐户状态。

减少锁定探测 - 精细的错误消息可让攻击者了解剩余的尝试次数或哪些帐户当前被锁定，从而使定向攻击更加容易。

行业/OWASP 指南 - OWASP Authentication Cheat Sheet（《OWASP 身份验证速查表》）建议使用通用响应，例如 Invalid username or password（无效的用户名或密码），专门避免身份验证和帐户状态信息泄露。

由于这些原因，Empower 当前针对 LDAP 帐户的通用 Authentication failed for user ‘username’（用户“用户名”验证失败）对话框符合常见的安全最佳实践，尽管该对话框对于合法用户提供的信息较少。

在因密码不正确而尝试登录 N 次不成功后，根据 LDAP 策略，审计追踪将继续报告事件“Authentication failed for the user xxxx.”（用户 xxxx 验证失败）。

id246248, EMP2LIC, EMP2OPT, EMP2SW, EMP3GC, EMP3LIC, EMP3OPT, EMP3SW, EMPGC, EMPGPC, EMPLIC, EMPOWER2, EMPOWER3, EMPSW, SUP