Attivare o disattivare la protezione dall'enumerazione delle email

Questa guida spiega la funzionalità di protezione dall'enumerazione delle email e mostra come attivarla e disattivarla. Se hai creato il progetto a partire dal 15 settembre 2023, la protezione dall'enumerazione email è attiva per impostazione predefinita.

Panoramica

L'enumerazione email è un tipo di attacco di forza bruta in cui un attore malintenzionato tenta di indovinare o confermare gli utenti di un sistema passando un indirizzo email all'API e controllando la risposta.

Senza la protezione dall'enumerazione delle email, Identity Platform restituisce informazioni che possono essere utilizzate in un attacco di enumerazione delle email:

  • Viene tentato di accedere con un indirizzo email che non esiste nel sistema. Identity Platform restituisce un errore EMAIL_NOT_FOUND.

  • Viene effettuato un tentativo di registrazione con un indirizzo email già esistente nel sistema. Identity Platform restituisce un errore EMAIL_EXISTS.

Puoi utilizzare la funzionalità di protezione dall'enumerazione email di Identity Platform per proteggere gli account utente nella tua app da questi attacchi.

Quando la protezione enumerazione email è attivata, il progetto presenta il seguente comportamento:

  • L'API fetchSignInForEmail non andrà a buon fine. Anche il collegamento degli utenti autenticati anonimi a un indirizzo email non funzionerà prima della versione 22.3.0 dell'SDK per Android, 10.18.0 per iOS e 10.6.0 per il web.

  • Quando si chiama l'API REST createAuthUri o il metodo SDK client fetchSignInMethodsForEmail su tutte le piattaforme, non viene più restituito un elenco di metodi di accesso per un indirizzo email specificato.

  • Gli utenti non possono modificare il proprio indirizzo email senza prima verificarlo. Ad esempio, non puoi più modificare l'indirizzo email di un utente con l'API REST update, l'API REST setAccountInfo o il metodo SDK client updateEmail su tutte le piattaforme.

    Puoi utilizzare verifyBeforeUpdateEmail per il web e Android o sendEmailVerification(beforeUpdatingEmail:) per iOS.

  • Non puoi più utilizzare l'API REST setAccountInfo per collegare un fornitore di email/password a un account utente esistente. Non puoi più utilizzare il metodo SDK client linkWithCredential con un EmailAuthCredential su nessuna piattaforma. Utilizza l'API REST signUp, passando il token ID dell'utente nel campo idToken e i campi email, password da collegare.

  • Rimuove le risposte di errore per i flussi di verifica email, ad esempio quelli avviati chiamando l'API REST sendOobCode con tipi di richiesta VERIFY_AND_CHANGE_EMAIL oPASSWORD_RESET e quando si chiama verifyBeforeUpdateEmail per web e Android, sendEmailVerification(beforeUpdatingEmail:) per iOS o metodi SDK client sendPasswordResetEmail su tutte le piattaforme.

    Quando effettui una richiesta di reimpostazione della password, viene inviata un'email di verifica solo se l'indirizzo email esiste. Quando effettui una richiesta di modifica dell'indirizzo email, viene inviata un'email di verifica solo se l'indirizzo email non esiste già. In entrambi i casi, non vengono visualizzati messaggi di errore specifici che indicano quando le email non vengono inviate.

    Ti consigliamo di non consentire agli utenti di registrarsi senza un flusso di verifica email.

  • I casi di accesso non validi restituiscono una risposta di errore INVALID_LOGIN_CREDENTIALS. I casi di registrazione non validi continuano a restituire errori EMAIL_EXISTS. Consulta i consigli nella sezione successiva.

Se la tua app si basa su uno dei comportamenti modificati dalla protezione per l'enumerazione email, al momento puoi disattivarla. Tuttavia, questa operazione non è consigliata a lungo termine; consulta la sezione successiva.

Suggerimenti sulla sicurezza

Uno dei metodi più comuni per eseguire un attacco di acquisizione di account è eseguire attacchi di stuffing delle credenziali utilizzando credenziali che sono state divulgate o facili da indovinare. L'enumerazione delle email può essere utilizzata anche per ottenere informazioni sensibili sui tuoi utenti o per eseguire attacchi di phishing contro di loro. Per questi motivi, Google consiglia di utilizzare la funzionalità di protezione dall'enumerazione email per proteggere le tue app da questi attacchi.

  • Se hai creato il progetto a partire dal 15 settembre 2023, la protezione dall'enumerazione email è attiva per impostazione predefinita. Ti consigliamo di lasciare attivata la protezione dall'enumerazione email e di non fare affidamento su nessuno dei comportamenti elencati in precedenza in questa guida.

  • Se hai creato il progetto prima del 15 settembre 2023, la protezione dall'enumerazione email non viene attivata automaticamente.

    Se le tue app non si basano su nessuno dei comportamenti descritti in precedenza in questa guida, ti consigliamo di attivare immediatamente la protezione dall'enumerazione email.

    Se le tue app si basano su uno dei comportamenti descritti in precedenza, ti consigliamo di iniziare a eseguire la migrazione e di attivare la protezione dall'enumerazione email il prima possibile.

Oltre a utilizzare la protezione di enumerazione delle email, valuta la possibilità di adottare misure per impedire gli abusi degli endpoint di registrazione del tuo progetto che continuano a restituire errori EMAIL_EXISTS. Ecco alcuni modi per farlo:

  • Attiva App Check.
  • Integra reCAPTCHA nel flusso di registrazione.
  • Non consentire l'accesso con indirizzi email e password o link email e utilizza metodi alternativi, come Accedi con Google.

Attivare la protezione di enumerazione email

Per attivare la protezione dall'enumerazione delle email:

Console Firebase

  1. Nella Console Firebase, vai alla pagina Impostazioni di autenticazione Firebase.

    Vai alle impostazioni di Firebase Auth

    1. Nel riquadro di navigazione, seleziona Azioni utente.

    2. Seleziona Protezione da enumerazione email (consigliata).

  2. Fai clic su Salva.

Node.js

  1. Installa l'SDK Admin.

  2. Per attivare la protezione di enumerazione email, utilizza una delle seguenti opzioni:

    • Per la protezione a livello di progetto:

      import { getAuth } from 'firebase-admin/auth';

getAuth().projectConfigManager().updateProjectConfig(
  {
    emailPrivacyConfig: {
      enableImprovedEmailPrivacy: true,
    },
  }
);

    • Per la protezione a livello di tenant:

      import { getAuth } from 'firebase-admin/auth';

getAuth().tenantConfigManager().updateTenant(TENANT_ID,
  {
    emailPrivacyConfig: {
      enableImprovedEmailPrivacy: true,
    },
  }
);

      Sostituisci TENANT_ID con l'ID tenant per cui vuoi attivare la protezione di enumerazione email.

REST

  1. Nella console Google Cloud, stampa un token di accesso per l'ID progetto utilizzando il comando gcloud auth print-access-token:

    gcloud auth print-access-token --project=PROJECT_ID

  2. Attiva la protezione dell'enumerazione email per l'ID progetto utilizzando l'API Identity Toolkit:

    curl -X PATCH -d "{'emailPrivacyConfig':{'enableImprovedEmailPrivacy':true}}" \
    -H 'Authorization: Bearer ACCESS_TOKEN' \
    -H 'Content-Type: application/json' -H 'X-Goog-User-Project: PROJECT_ID' \
    "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=emailPrivacyConfig"

Sostituisci quanto segue:

  • ACCESS_TOKEN: il token di accesso generato in precedenza
  • PROJECT_ID: il tuo ID progetto

Disattivare la protezione di enumerazione email

Per disattivare la protezione di enumerazione delle email:

Console Firebase

  1. Nella Console Firebase, vai alla pagina Impostazioni di autenticazione Firebase.

    Vai alle impostazioni di Firebase Auth

    1. Nel riquadro di navigazione, seleziona Azioni utente.

    2. Deseleziona Protezione da enumerazione email (consigliata).

  2. Fai clic su Salva.

Node.js

  1. Installa l'SDK Admin.

  2. Per disattivare la protezione di numerazione delle email, utilizza una delle seguenti opzioni:

    • Per la protezione a livello di progetto:

      import { getAuth } from 'firebase-admin/auth';

getAuth().projectConfigManager().updateProjectConfig(
  {
    emailPrivacyConfig: {
      enableImprovedEmailPrivacy: false,
    },
  }
);

    • Per la protezione a livello di tenant:

      import { getAuth } from 'firebase-admin/auth';

getAuth().tenantConfigManager().updateTenant(TENANT_ID,
  {
    emailPrivacyConfig: {
      enableImprovedEmailPrivacy: false,
    },
  }
);

      Sostituisci TENANT_ID con l'ID tenant per il quale vuoi disattivare la protezione di numerazione email.

REST

  1. Nella console Google Cloud, stampa un token di accesso per il tuo ID progetto utilizzando il comando gcloud auth print-access-token:

    gcloud auth print-access-token --project=PROJECT_ID

  2. Disattiva la protezione dell'enumerazione email utilizzando l'API Identity Toolkit:

    curl -X PATCH -d "{'emailPrivacyConfig':{'enableImprovedEmailPrivacy':false}}" \
    -H 'Authorization: Bearer ACCESS_TOKEN' \
    -H 'Content-Type: application/json' -H 'X-Goog-User-Project: PROJECT_ID' \
    "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=emailPrivacyConfig"

Sostituisci quanto segue:

  • ACCESS_TOKEN: il token di accesso generato in precedenza
  • PROJECT_ID: il tuo ID progetto

Esempio di risposta di errore

Se un utente tenta di accedere con un indirizzo email o una password errati o di registrarsi con un indirizzo email che esiste già nel sistema, Identity Platform restituisce un errore simile al seguente:

{
"code": "auth/internal-error",
"message": "{\"error\":{\"code\":400,\"message\":\"INVALID_LOGIN_CREDENTIALS\",\"errors\":[{\"message\":\"INVALID_LOGIN_CREDENTIALS\",\"domain\":\"global\",\"reason\":\"invalid\"}]}}"
}