Habilita o inhabilita la protección de enumeración de correo electrónico
En esta guía, se explica la función de protección contra la enumeración de correos electrónicos y se muestra cómo habilitarla o inhabilitarla. Si creaste tu proyecto a partir del 15 de septiembre de 2023, la protección contra la enumeración de correos electrónicos está habilitada de forma predeterminada.
Descripción general
La enumeración de correos electrónicos es un tipo de ataque de fuerza bruta en el que un actor malicioso intenta adivinar o confirmar usuarios en un sistema pasando una dirección de correo electrónico a la API y verificando la respuesta.
Sin la protección de enumeración de correo electrónico, Identity Platform devuelve información que se puede usar en un ataque de enumeración de correo electrónico:
Se intenta acceder con una dirección de correo electrónico que no existe en el sistema. Identity Platform devuelve un error
EMAIL_NOT_FOUND
.Se intenta registrarse con una dirección de correo electrónico que ya existe en el sistema. Identity Platform devuelve un error
EMAIL_EXISTS
.
Puedes usar la función de protección contra la enumeración de correos electrónicos de Identity Platform para proteger las cuentas de usuario de tu app contra estos ataques.
Cuando la protección contra la enumeración de correo electrónico está habilitada, tu proyecto tiene el siguiente comportamiento:
La API de
fetchSignInForEmail
fallará. Tampoco funcionará la vinculación de usuarios autenticados anónimos con una dirección de correo electrónico antes de la versión 22.3.0 del SDK para Android, la versión 10.18.0 para iOS y la versión 10.6.0 para la Web.Ya no se devuelve una lista de métodos de acceso para una dirección de correo electrónico especificada cuando se llama a la API de REST de
createAuthUri
o al método del SDK del cliente defetchSignInMethodsForEmail
en todas las plataformas.Los usuarios no pueden cambiar su dirección de correo electrónico sin antes verificar la nueva. Por ejemplo, ya no puedes cambiar la dirección de correo electrónico de un usuario con la API de REST de
update
, la API de REST desetAccountInfo
ni el método del SDK de cliente deupdateEmail
en todas las plataformas.En su lugar, puedes usar
verifyBeforeUpdateEmail
para la Web y Android, osendEmailVerification(beforeUpdatingEmail:)
para iOS.Ya no puedes usar la API de REST de
setAccountInfo
para vincular un proveedor de correo electrónico y contraseña a una cuenta de usuario existente. Ya no puedes usar el método del SDK del clientelinkWithCredential
con unEmailAuthCredential
en ninguna plataforma. En su lugar, usa la API de RESTsignUp
y pasa el token de ID del usuario en el campoidToken
y los camposemail
ypassword
para vincularlos.Se quitan las respuestas de error para los flujos de verificación de correo electrónico, incluidos los flujos que se iniciaron con una llamada a la API de REST de
sendOobCode
con los tipos de solicitudVERIFY_AND_CHANGE_EMAIL
oPASSWORD_RESET
, y con una llamada averifyBeforeUpdateEmail
para la Web y Android,sendEmailVerification(beforeUpdatingEmail:)
para iOS osendPasswordResetEmail
en todas las plataformas.Cuando solicitas restablecer la contraseña, se envía un correo electrónico de verificación solo si la dirección de correo electrónico existe. Cuando solicitas cambiar la dirección de correo electrónico, se envía un correo electrónico de verificación solo si la dirección de correo electrónico aún no existe. En ambos casos, no hay mensajes de error específicos que indiquen cuándo no se envían los correos electrónicos.
Te recomendamos que no permitas que los usuarios se registren sin un flujo de verificación de correo electrónico.
Los casos de acceso no válidos muestran una respuesta de error
INVALID_LOGIN_CREDENTIALS
. Los casos de registro no válidos siguen devolviendo errores deEMAIL_EXISTS
. Consulta las recomendaciones en la siguiente sección.
Si tu app depende de alguno de los comportamientos que cambió la protección contra la enumeración de correo electrónico, puedes inhabilitarla. Sin embargo, no se recomienda a largo plazo. Consulta la siguiente sección.
Recomendaciones de seguridad
Uno de los métodos más comunes para realizar un ataque de apropiación de cuentas es realizar ataques de credential stuffing con credenciales filtradas o fáciles de adivinar. La enumeración de correos electrónicos también se puede usar para obtener información sensible sobre tus usuarios o para realizar ataques de phishing contra ellos. Por estos motivos, Google recomienda usar la función de protección de enumeración de correo electrónico para proteger tus apps contra este tipo de ataques.
Si creaste tu proyecto a partir del 15 de septiembre de 2023, la protección contra la enumeración de correos electrónicos está habilitada de forma predeterminada. Te recomendamos que dejes habilitada la protección contra la enumeración de correos electrónicos y que no confíes en ninguno de los comportamientos que se mencionaron anteriormente en esta guía.
Si creaste tu proyecto antes del 15 de septiembre de 2023, la protección contra la enumeración de correos electrónicos no se habilita automáticamente.
Si tus apps no dependen de ninguno de los comportamientos descritos anteriormente en esta guía, te recomendamos que habilites la protección contra la enumeración de correos electrónicos de inmediato.
Si tus apps dependen de alguno de los comportamientos descritos anteriormente, te recomendamos que comiences a migrar para dejar de hacerlo y que habilites la protección contra la enumeración de correos electrónicos lo antes posible.
Además de usar la protección de enumeración de correo electrónico, considera tomar medidas para evitar el abuso de los extremos de registro de tu proyecto que siguen mostrando errores de EMAIL_EXISTS
. Estas son algunas formas de hacerlo:
- Habilita la Verificación de aplicaciones.
- Integra reCAPTCHA en tu flujo de registro.
- No permitas el acceso con direcciones de correo electrónico y contraseñas o vínculos por correo electrónico, y usa métodos alternativos, como el Acceso con Google.
Habilita la protección de enumeración de correo electrónico
Para habilitar la protección contra la enumeración de correos electrónicos, sigue estos pasos:
Firebase console
En Firebase console, ve a la página Configuración de la autenticación.
Ir a Configuración de autenticación
En el panel Administración de cuentas de usuario, selecciona Acciones del usuario.
Selecciona Protección de enumeración de correo electrónico (recomendada).
Haz clic en Guardar.
Node.js
Instala el SDK de Admin.
Para habilitar la protección de enumeración de correo electrónico, usa una de las siguientes opciones:
Para la protección a nivel del proyecto, haz lo siguiente:
import { getAuth } from 'firebase-admin/auth'; getAuth().projectConfigManager().updateProjectConfig( { emailPrivacyConfig: { enableImprovedEmailPrivacy: true, }, } );
Para la protección a nivel del usuario:
import { getAuth } from 'firebase-admin/auth'; getAuth().tenantConfigManager().updateTenant(TENANT_ID, { emailPrivacyConfig: { enableImprovedEmailPrivacy: true, }, } );
Reemplaza
TENANT_ID
por el ID del arrendatario para el que deseas habilitar la protección contra la enumeración de correos electrónicos.
REST
En la consola de Google Cloud , imprime un token de acceso para el ID de tu proyecto con el comando
gcloud auth print-access-token
:gcloud auth print-access-token --project=PROJECT_ID
Habilita la protección contra la enumeración de correos electrónicos para tu ID del proyecto con la API de Identity Toolkit:
curl -X PATCH -d "{'emailPrivacyConfig':{'enableImprovedEmailPrivacy':true}}" \ -H 'Authorization: Bearer ACCESS_TOKEN' \ -H 'Content-Type: application/json' -H 'X-Goog-User-Project: PROJECT_ID' \ "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=emailPrivacyConfig"
Reemplaza lo siguiente:
- ACCESS_TOKEN: El token de acceso que generaste antes
- PROJECT_ID: El ID de tu proyecto
Inhabilita la protección de enumeración de correo electrónico
Para inhabilitar la protección contra la enumeración de correos electrónicos, sigue estos pasos:
Firebase console
En Firebase console, ve a la página Configuración de la autenticación.
Ir a Configuración de autenticación
En el panel Administración de cuentas de usuario, selecciona Acciones del usuario.
Borra Protección de enumeración de correo electrónico (recomendada).
Haz clic en Guardar.
Node.js
Instala el SDK de Admin.
Para inhabilitar la protección contra la enumeración de correos electrónicos, usa una de las siguientes opciones:
Para la protección a nivel del proyecto, haz lo siguiente:
import { getAuth } from 'firebase-admin/auth'; getAuth().projectConfigManager().updateProjectConfig( { emailPrivacyConfig: { enableImprovedEmailPrivacy: false, }, } );
Para la protección a nivel del usuario:
import { getAuth } from 'firebase-admin/auth'; getAuth().tenantConfigManager().updateTenant(TENANT_ID, { emailPrivacyConfig: { enableImprovedEmailPrivacy: false, }, } );
Reemplaza
TENANT_ID
por el ID del arrendatario para el que deseas inhabilitar la protección contra la enumeración de correos electrónicos.
REST
En la consola de Google Cloud , imprime un token de acceso para el ID de tu proyecto con el comando
gcloud auth print-access-token
:gcloud auth print-access-token --project=PROJECT_ID
Inhabilita la protección contra la enumeración de correos electrónicos con la API de Identity Toolkit:
curl -X PATCH -d "{'emailPrivacyConfig':{'enableImprovedEmailPrivacy':false}}" \ -H 'Authorization: Bearer ACCESS_TOKEN' \ -H 'Content-Type: application/json' -H 'X-Goog-User-Project: PROJECT_ID' \ "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=emailPrivacyConfig"
Reemplaza lo siguiente:
- ACCESS_TOKEN: El token de acceso que generaste antes
- PROJECT_ID: El ID de tu proyecto
Ejemplo de una respuesta de error
Si un usuario intenta acceder con una dirección de correo electrónico o una contraseña incorrectas, o intenta registrarse con una dirección de correo electrónico que ya existe en el sistema, Identity Platform devuelve un error similar al siguiente:
{
"code": "auth/internal-error",
"message": "{\"error\":{\"code\":400,\"message\":\"INVALID_LOGIN_CREDENTIALS\",\"errors\":[{\"message\":\"INVALID_LOGIN_CREDENTIALS\",\"domain\":\"global\",\"reason\":\"invalid\"}]}}"
}