Domanda:
La lunghezza / complessità / unicità del nome utente influisce positivamente sulla sicurezza?
user389823
2016-03-24 07:34:26 UTC
view on stackexchange narkive permalink

Avere un nome utente più lungo / più complesso è considerato più sicuro rispetto all'utilizzo di uno più breve / di base? L'unicità di un nome utente avrebbe un impatto positivo sulla sicurezza?

Questo presuppone che gli avversari non siano consapevoli di quale potrebbe essere il nome utente, ad es. un accesso da terminale remoto.

Alcuni attacchi non comportano l'uso di una password che ti aspetti che molti utenti abbiano e invece il bruteforcing del nome utente?
Domanda simile con [risponde qui] (https://security.stackexchange.com/questions/66364/what-is-the-point-in-having-arbitrary-username-requirements/).
Non sono sicuro che sia pertinente, ma se utilizzi nomi utente diversi per sistemi diversi, ad esempio [email protected] e [email protected], sarà più facile rintracciare quali credenziali sono state compromesse (o dettagli e-mail venduti).Penso che questo aumenti la sicurezza, ma non credo che sia proprio quello che stavi chiedendo.
Questo è in qualche modo correlato a [una domanda che ho posto qualche tempo fa] (http://security.stackexchange.com/questions/66364);la mia domanda riguardava i progettisti di sistemi che obbligavano gli utenti a rispettare determinati requisiti del nome utente.Le risposte fornite forniscono alcune informazioni sul problema della lunghezza del nome utente.
Poiché i nomi utente in genere non vengono tenuti segreti, il software che gestisce i nomi utente non li tratta come informazioni sensibili.OpenSSH per esempio _still_ ha un bug che consente a qualcuno di enumerare i nomi utente se il server SSH ha il cifrario Blowfish abilitato, a causa di un attacco temporaneo.
Sette risposte:
#1
+70
Peter Green
2016-03-24 08:15:59 UTC
view on stackexchange narkive permalink

Un nome utente più difficile da indovinare aumenta la sicurezza se viene tenuto segreto.

I problemi sono

  1. I nomi utente sono spesso non tenuto particolarmente segreto. Sulla maggior parte dei sistemi che consentono a più utenti di accedere, qualsiasi utente può visualizzare l'elenco degli utenti validi. Sui sistemi che eseguono server di posta, il server di posta può essere efficacemente utilizzato per verificare se un nome utente potrebbe essere valido poiché la maggior parte dei server di posta accetterà la posta per qualsiasi utente locale. Vari programmi possono includere il tuo nome utente per impostazione predefinita nel traffico in uscita quando si connettono ai server. I moduli di registrazione di nuovi utenti o i moduli per il recupero della password possono consentire a un utente malintenzionato di verificare se viene utilizzato un nome utente.

  2. I nomi utente sono spesso più difficili da modificare delle password.

Quindi, quando si aggiunge ulteriore complessità alle proprie credenziali di accesso, è meglio prendere l'abitudine di inserire quella complessità extra nella password anziché nel nome utente.

Questa risposta è fantastica per quel secondo punto.
I nomi utente, per definizione, non sono segreti (chi è il proprietario di questo file?). Un nome utente complesso ridurrà leggermente la sicurezza perché aumenta la complessità e la possibilità di commettere un errore.
È un peccato che i nomi utente non siano tenuti segreti, specialmente per quei siti che ti bloccano se non riesci a correggere la password dopo x tentativi. Ad esempio, il tuo conto bancario può essere bloccato dalle persone che tentano di accedervi 3 volte. Ciò sarebbe molto meno probabile se i nomi utente stessi fossero tenuti segreti.
Il mio indirizzo email di lavoro è monty.harder @ ..., ma il nome utente corrispondente sul dominio è qualcosa di molto diverso, che non include alcuna parte del mio nome. Qualcuno già sulla nostra rete aziendale potrebbe ottenere abbastanza facilmente il mio nome utente, ma dall'esterno della rete non è possibile farlo. Questo fa parte di un progetto deliberato per proteggere anche i nomi utente dalla divulgazione a un potenziale aggressore.
@spacetyper direi esattamente l'opposto. Makine SIA il nome utente che la password non sono necessari e aggiunge poca o nessuna sicurezza e rende molto più difficile per gli utenti accedere a un sito. Il problema è che molte persone qui intorno pensano che la sicurezza sia l'unica cosa che conta. La sicurezza è sempre un equilibrio tra la fornitura di un servizio e i rischi che il servizio venga compromesso. Se vuoi la sicurezza pura, non fornire il servizio in primo luogo!
@mpez0 Non necessariamente. Sul mio blog WordPress, ad esempio, il mio nome utente di accesso è diverso dal mio "nome utente autore" (il nome visualizzato nei miei post). Considero il nome di accesso un segreto e una funzionalità di sicurezza: ho un plug-in di sicurezza impostato per inviarmi un'email ogni volta che qualcuno accede con quel nome e anche per segnalare gli accessi non riusciti per nome. Se mai vedessi qualcuno tranne me stesso provare a usare il mio nome di accesso, anche se non ha avuto successo, sarei preoccupato, poiché non è qualcosa di facilmente intuibile conoscendomi casualmente o leggendo i miei post.
Il nome utente può essere indovinato - a volte quando voglio creare un account ricevo un errore "Questo nome utente esiste già".Alcuni siti Web hanno anche un pulsante in un modulo di registrazione per verificare che il nome utente attualmente inserito non sia utilizzato (o viene controllato automaticamente quando viene inserito il nome utente) e viene visualizzato un avviso se viene utilizzato.Penso che questo renda il nome utente non segreto.
#2
+33
d1str0
2016-03-24 08:18:34 UTC
view on stackexchange narkive permalink

No. Un nome utente non dovrebbe essere mantenuto segreto e quindi non lo sarà. Un nome utente è un ID pubblico. Affidarsi ad esso per la sicurezza non è intelligente.

Questa risposta è corretta ** presupponendo ** che la password sia scelta in modo debole e il nome utente sia l'unico meccanismo di sicurezza. Considera questo scenario: sto usando KeePass per memorizzare le password. Cosa succederebbe se ** ANCHE ** generassi in modo casuale un nome utente lungo e casuale (di cui non mi interessa davvero)? Questo aumenta anche un po 'la sicurezza? E la risposta a questo è che * sicuramente * non riduci la sicurezza. A seconda del sistema può * aggiungere * un po 'di sicurezza (se non è del tutto banale scoprire i nomi utente del sistema) o essere completamente inutile (ad esempio l'elenco dei nomi utente è pubblico).
Questo è il motivo per cui utilizzare ad es. un SSN, che identifica i cittadini statunitensi, come password, è un'idea terribile.
Sono d'accordo con non fare affidamento su di esso, ma cambiare i nomi utente in qualcosa come m453627 aggiunge oscurità e rende le cose più difficili per un individuo sapere se ha un ID che corrisponde a un utente amministratore di sistema, utente finanziario o qualsiasi altra persona che può esserefacilmente googled.Se una persona sta per hackerare un sistema e ha un nome utente casuale come sopra, rende più dispendioso in termini di tempo capire con quale account ha a che fare, quali autorizzazioni ha e dove sulla rete può accedere.
johnSmith da alcuni siti Web è molto più facile da google per capire il suo lavoro e il suo ruolo in azienda rispetto a m453632.Per le pagine web pubbliche come StachExchange probabilmente non aggiunge molto in termini di sicurezza, ma per le aziende bloccate, questo può essere un bel miglioramento della sicurezza.
#3
+4
ferit
2016-03-24 07:39:13 UTC
view on stackexchange narkive permalink

Ha un impatto leggermente positivo, ma non puoi fare affidamento su di esso. E questo piccolo impatto non vale per avere un nome utente complesso. I sistemi non sono progettati per mantenere segreti i nomi utente, quindi tenerli segreti sarà troppo difficile.

Si tratta di oscurità, non di sicurezza.

Un nome utente complesso può incoraggiare gli utenti a utilizzare un gestore di password, piuttosto che utilizzare credenziali deboli che possono essere memorizzate.
Altrettanto speculativo è che indurrebbe gli utenti a tornare a metodi non sicuri per memorizzare nome utente con password.
@user1751825 Perché un nome utente complesso dovrebbe indurli a utilizzare un gestore di password (oltre a ricordare il nome utente complesso)? In entrambi i casi, se pensano "_il nome utente è complesso_", penso che molti concluderanno "_quindi non importa se la password è semplice_".
AilidqokdsCMT Cosa?
@user1751825 un nome utente complesso incoraggerebbe gli utenti a scrivere i loro nomi utente. Probabilmente insieme alla password. In un post-it. E, è probabile che questa nota verrà probabilmente incollata al monitor di detto utente.
#4
+1
user1751825
2016-03-24 07:42:52 UTC
view on stackexchange narkive permalink

Sì, aumentare la complessità di un nome utente migliorerà la sicurezza in generale. È la combinazione di nome utente e password che conta dal punto di vista della sicurezza, quindi qualsiasi cosa tu faccia per rendere quella combinazione più difficile da indovinare, sarà d'aiuto.

Alcuni servizi forniranno un feedback affermativo per un nome utente indovinato correttamente , anche se la password fallisce. Avere un nome utente confermato è un'informazione in più che un hacker non dovrebbe avere.

Downvoted?Questa è una risposta perfettamente ragionevole e accettabile.Le aziende stanno iniziando a passare dai nomi utente di base a opzioni più oscure per aggiungere un altro livello di protezione (anche se piccolo).I nuovi utenti nelle grandi aziende non hanno più nomi utente che si identificano facilmente con un individuo (ex username = "m3569918") per aggiungere un ulteriore livello di protezione.Ciò rende molto più difficile per qualcuno ottenere le informazioni dell'utente, esaminare il nome utente e vedere l'account di cui dispongono per avere un'idea di quale parte della rete si troveranno con quali autorizzazioni
+1 da me.Anche se avrei affermato che aumentare la complessità rendendo il nome utente non ha alcun significato per un particolare utente (es. M453627 invece di someUserName) fornisce oscurità e aumenta la sicurezza generale di una rete.
#5
+1
Dmitry Grigoryev
2016-03-24 19:21:06 UTC
view on stackexchange narkive permalink

Sì, c'è un'aggiunta significativa alla sicurezza nel caso che descrivi. In effetti, molti sistemi disabilitano gli accessi per account con nomi noti, come root o guest proprio per questo motivo: l'attaccante dovrà acquisire un nome utente valido prima di avviare il attacco vero e proprio.

Ovviamente, ci sono altri motivi per disabilitare in particolare l'accesso root , ma un nome utente prevedibile è parte del problema.

#6
+1
niilzon
2016-03-24 19:46:56 UTC
view on stackexchange narkive permalink

Proprio come tutte le tecniche di sicurezza attraverso l'oscurità, questo aggiungerebbe un po 'di sicurezza ma non è una sicurezza affidabile.

Se farlo non ha costi aggiuntivi e non influisce sul business, è una piccola aggiunta che potrebbe costare un po 'di tempo agli aggressori, ma ciò non impedirà nulla in modo affidabile.

Un'analogia potrebbe essere quella di costruire una casa nel mezzo di un deserto: è difficile da trovare. Ma vuoi comunque che la casa sia protetta.

#7
+1
liori
2016-03-27 02:37:50 UTC
view on stackexchange narkive permalink

C'è un punto che trovo utile non menzionato finora da altre risposte. Mantenere i tuoi nomi utente casuali e diversi tra i diversi siti rende più difficile per un estraneo collegare le tue attività tra i vari siti. Invece di cercare su Google il tuo nome utente, qualcuno che desidera monitorare le tue attività dovrà utilizzare altri mezzi, come il monitoraggio degli indirizzi IP che utilizzi, per correlare le tue attività tra diversi siti che hanno nomi utente pubblici, rendendo, diciamo, molestie, più difficile.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...