Schutz vor E-Mail-Aufzählung aktivieren oder deaktivieren
In diesem Leitfaden wird die Funktion zum Schutz vor E-Mail-Aufzählungen erläutert und Sie erfahren, wie Sie sie aktivieren und deaktivieren. Wenn Sie Ihr Projekt am oder nach dem 15. September 2023 erstellt haben, ist der Schutz vor E-Mail-Aufzählungen standardmäßig aktiviert.
Übersicht
Die E-Mail-Aufzählung ist eine Art Brute-Force-Angriff, bei dem ein böswilliger Akteur versucht, Nutzer in einem System zu erraten oder zu bestätigen, indem er eine E-Mail-Adresse an die API weitergibt und die Antwort überprüft.
Ohne Schutz vor E-Mail-Enumeration gibt die Identity Platform Informationen zurück, die in einem E-Mail-Enumerationsangriff verwendet werden können:
Es wird versucht, sich mit einer E-Mail-Adresse anzumelden, die im System nicht vorhanden ist. Identity Platform gibt einen
EMAIL_NOT_FOUND
-Fehler zurück.Es wird versucht, sich mit einer E-Mail-Adresse zu registrieren, die bereits im System vorhanden ist. Identity Platform gibt einen
EMAIL_EXISTS
-Fehler zurück.
Mit der Funktion zum Schutz vor E-Mail-Aufzählung von Identity Platform können Sie Nutzerkonten in Ihrer App vor diesen Angriffen schützen.
Wenn der Schutz vor E-Mail-Aufzählung aktiviert ist, hat Ihr Projekt folgendes Verhalten:
Die
fetchSignInForEmail
API schlägt fehl. Die Verknüpfung von anonym authentifizierten Nutzern mit einer E-Mail-Adresse funktioniert erst ab der SDK-Version 22.3.0 für Android, 10.18.0 für iOS und 10.6.0 für das Web.Wenn die
createAuthUri
-REST API oder diefetchSignInMethodsForEmail
-Client SDK-Methode auf allen Plattformen aufgerufen wird, wird keine Liste der Anmeldemethoden für eine angegebene E-Mail-Adresse mehr zurückgegeben.Nutzer können ihre E-Mail-Adresse nicht ändern, ohne die neue Adresse zuerst zu bestätigen. So können Sie beispielsweise die E-Mail-Adresse eines Nutzers nicht mehr mit der
update
-REST API, dersetAccountInfo
-REST API oder derupdateEmail
-Client SDK-Methode auf allen Plattformen ändern.Sie können stattdessen
verifyBeforeUpdateEmail
für das Web und Android odersendEmailVerification(beforeUpdatingEmail:)
für iOS verwenden.Sie können die
setAccountInfo
REST API nicht mehr verwenden, um einen E-Mail-/Passwortanbieter mit einem vorhandenen Nutzerkonto zu verknüpfen. Die Client SDK-MethodelinkWithCredential
mit einemEmailAuthCredential
kann auf keiner Plattform mehr verwendet werden. Verwenden Sie stattdessen die REST APIsignUp
und geben Sie das ID-Token des Nutzers im FeldidToken
und die zu verknüpfenden Felderemail
undpassword
an.Fehlerantworten für E-Mail-Bestätigungsabläufe werden entfernt, z. B. solche, die durch Aufrufen der
sendOobCode
-REST API mit den AnfragetypenVERIFY_AND_CHANGE_EMAIL
oderPASSWORD_RESET
und durch Aufrufen vonverifyBeforeUpdateEmail
für Web und Android,sendEmailVerification(beforeUpdatingEmail:)
für iOS odersendPasswordResetEmail
-Client SDK-Methoden auf allen Plattformen initiiert werden.Wenn Sie einen Antrag auf Passwortzurücksetzung stellen, wird nur dann eine Bestätigungs-E-Mail gesendet, wenn die E-Mail-Adresse existiert. Wenn Sie einen Antrag auf Änderung der E-Mail-Adresse stellen, wird nur dann eine Bestätigungs-E-Mail gesendet, wenn die E-Mail-Adresse noch nicht existiert. In beiden Fällen werden keine Fehlermeldungen angezeigt, wenn E-Mails nicht gesendet werden.
Wir empfehlen, dass Sie Nutzern die Registrierung ohne E-Mail-Bestätigung nicht erlauben.
Bei ungültigen Anmeldevorgängen wird eine Fehlerantwort vom Typ
INVALID_LOGIN_CREDENTIALS
zurückgegeben. Bei ungültigen Registrierungen werden weiterhinEMAIL_EXISTS
-Fehler zurückgegeben. Weitere Informationen finden Sie im nächsten Abschnitt.
Wenn Ihre App eines der durch den Schutz vor E-Mail-Aufzählungen geänderten Verhaltensweisen benötigt, können Sie ihn derzeit deaktivieren. Dies ist jedoch langfristig nicht empfehlenswert. Weitere Informationen finden Sie im folgenden Abschnitt.
Sicherheitsempfehlungen
Eine der häufigsten Methoden für einen Kontoübernahmeangriff ist der Anmeldedaten-Stuffing-Angriff, bei dem Anmeldedaten verwendet werden, die gehackt wurden oder leicht zu erraten sind. Die E-Mail-Aufzählung kann auch dazu verwendet werden, vertrauliche Informationen über Ihre Nutzer zu erhalten oder Phishing-Angriffe auf sie durchzuführen. Aus diesen Gründen empfiehlt Google, die Funktion zum Schutz vor E-Mail-Aufzählungen zu verwenden, um Ihre Apps vor solchen Angriffen zu schützen.
Wenn Sie Ihr Projekt am oder nach dem 15. September 2023 erstellt haben, ist der Schutz vor E-Mail-Aufzählungen standardmäßig aktiviert. Wir empfehlen, den Schutz vor E-Mail-Aufzählungen aktiviert zu lassen und keine der oben in diesem Leitfaden aufgeführten Verhaltensweisen zu verwenden.
Wenn Sie Ihr Projekt vor dem 15. September 2023 erstellt haben, wird der Schutz vor E-Mail-Aufzählungen nicht automatisch aktiviert.
Wenn Ihre Apps keines der in diesem Leitfaden beschriebenen Verhaltensweisen nutzen, empfehlen wir Ihnen, den Schutz vor E-Mail-Aufzählungen sofort zu aktivieren.
Wenn Ihre Apps eines der oben beschriebenen Verhaltensweisen nutzen, sollten Sie damit beginnen, diese zu migrieren und so schnell wie möglich den Schutz vor E-Mail-Aufzählungen zu aktivieren.
Neben dem Schutz vor E-Mail-Aufzählungen sollten Sie Maßnahmen ergreifen, um den Missbrauch der Anmeldeendpunkte Ihres Projekts zu verhindern, die weiterhin EMAIL_EXISTS
-Fehler zurückgeben. Das geht so:
- Aktivieren Sie App Check.
- Binden Sie reCAPTCHA in den Registrierungsvorgang ein.
- Deaktivieren Sie die Anmeldung mit E-Mail-Adressen und Passwörtern oder E-Mail-Links und verwenden Sie stattdessen alternative Methoden wie die Anmeldung über Google.
Schutz vor E-Mail-Enumeration aktivieren
So aktivieren Sie den Schutz vor E-Mail-Aufzählungen:
Firebase Console
Rufen Sie in der Firebase Console die Seite Firebase Auth-Einstellungen auf.
Zu den Firebase Auth-Einstellungen
Wählen Sie im Navigationsbereich Nutzeraktionen aus.
Wählen Sie Schutz vor E-Mail-Enumeration (empfohlen) aus.
Klicken Sie auf Speichern.
Node.js
Installieren Sie das Admin SDK.
Sie haben folgende Möglichkeiten, den Schutz vor E-Mail-Aufzählungen zu aktivieren:
Für den Schutz auf Projektebene:
import { getAuth } from 'firebase-admin/auth'; getAuth().projectConfigManager().updateProjectConfig( { emailPrivacyConfig: { enableImprovedEmailPrivacy: true, }, } );
Für den Schutz auf Mandantenebene:
import { getAuth } from 'firebase-admin/auth'; getAuth().tenantConfigManager().updateTenant(TENANT_ID, { emailPrivacyConfig: { enableImprovedEmailPrivacy: true, }, } );
Ersetzen Sie
TENANT_ID
durch die Mandanten-ID, für die Sie den Schutz vor E-Mail-Aufzählung aktivieren möchten.
REST
Drucken Sie in der Google Cloud -Konsole mit dem Befehl
gcloud auth print-access-token
ein Zugriffstoken für Ihre Projekt-ID aus:gcloud auth print-access-token --project=PROJECT_ID
Aktivieren Sie den Schutz vor E-Mail-Aufzählungen für Ihre Projekt-ID mit der Identity Toolkit API:
curl -X PATCH -d "{'emailPrivacyConfig':{'enableImprovedEmailPrivacy':true}}" \ -H 'Authorization: Bearer ACCESS_TOKEN' \ -H 'Content-Type: application/json' -H 'X-Goog-User-Project: PROJECT_ID' \ "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=emailPrivacyConfig"
Ersetzen Sie Folgendes:
- ACCESS_TOKEN: das zuvor generierte Zugriffstoken
- PROJECT_ID: Ihre Projekt-ID.
Schutz vor E-Mail-Enumeration deaktivieren
So deaktivieren Sie den Schutz vor E-Mail-Aufzählungen:
Firebase Console
Rufen Sie in der Firebase Console die Seite Firebase Auth-Einstellungen auf.
Zu den Firebase Auth-Einstellungen
Wählen Sie im Navigationsbereich Nutzeraktionen aus.
Entfernen Sie das Häkchen bei Schutz vor E-Mail-Enumeration (empfohlen).
Klicken Sie auf Speichern.
Node.js
Installieren Sie das Admin SDK.
Verwenden Sie einen der folgenden Befehle, um den Schutz vor E-Mail-Aufzählungen zu deaktivieren:
Für den Schutz auf Projektebene:
import { getAuth } from 'firebase-admin/auth'; getAuth().projectConfigManager().updateProjectConfig( { emailPrivacyConfig: { enableImprovedEmailPrivacy: false, }, } );
Für den Schutz auf Mandantenebene:
import { getAuth } from 'firebase-admin/auth'; getAuth().tenantConfigManager().updateTenant(TENANT_ID, { emailPrivacyConfig: { enableImprovedEmailPrivacy: false, }, } );
Ersetzen Sie
TENANT_ID
durch die Mandanten-ID, für die Sie den Schutz vor E-Mail-Aufzählung deaktivieren möchten.
REST
Drucken Sie in der Google Cloud Console mit dem Befehl
gcloud auth print-access-token
ein Zugriffstoken für Ihre Projekt-ID aus:gcloud auth print-access-token --project=PROJECT_ID
Schutz vor E-Mail-Aufzählung mit der Identity Toolkit API deaktivieren:
curl -X PATCH -d "{'emailPrivacyConfig':{'enableImprovedEmailPrivacy':false}}" \ -H 'Authorization: Bearer ACCESS_TOKEN' \ -H 'Content-Type: application/json' -H 'X-Goog-User-Project: PROJECT_ID' \ "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=emailPrivacyConfig"
Ersetzen Sie Folgendes:
- ACCESS_TOKEN: das zuvor generierte Zugriffstoken
- PROJECT_ID: Ihre Projekt-ID.
Beispiel für eine Fehlerantwort
Wenn ein Nutzer versucht, sich mit einer falschen E-Mail-Adresse oder einem falschen Passwort anzumelden oder sich mit einer E-Mail-Adresse zu registrieren, die bereits im System vorhanden ist, gibt Identity Platform einen ähnlichen Fehler zurück:
{
"code": "auth/internal-error",
"message": "{\"error\":{\"code\":400,\"message\":\"INVALID_LOGIN_CREDENTIALS\",\"errors\":[{\"message\":\"INVALID_LOGIN_CREDENTIALS\",\"domain\":\"global\",\"reason\":\"invalid\"}]}}"
}