Qual è il punto nell'avere requisiti di nome utente arbitrari?

Esistono due argomenti principali per l'applicazione di requisiti / restrizioni sulle scelte del nome utente. La prima è che rendere i nomi utente più difficili da prevedere per gli attaccanti aiuta a resistere agli attacchi di indovinare online. Mentre i nomi utente non sono necessariamente considerati segreti come password, sono almeno due informazioni che devono essere rubate per impersonare un utente. Non dovremmo ignorare il vantaggio di queste informazioni che rimangono sconosciute agli aggressori.

Il documento del 2007 Le password Web efficaci portano a termine qualcosa? (PDF) valuta la minaccia di indovinare la password online e considera quali sono le nostre opzioni per combatterlo. Un sito può imporre una politica di password più rigida che può danneggiare l'usabilità se gli utenti faticano a rispettare e provano frustrazione per il processo. Oppure il sito può imporre alcune restrizioni sul nome utente e mantenere la stessa politica della password. La loro teoria è che se un utente malintenzionato deve provare un sacco di combinazioni possibili non importa tanto se ciò è dovuto a nomi utente semplici e password complesse, o nomi utente semi-complicati e password semi-complicate.

Questo ignora una terza opzione del sito che aggiunge un secondo fattore di autenticazione per integrare la sicurezza di una password lasciando soli i nomi utente. Richiede inoltre che il sito lavori di più per evitare di rivelare nomi utente validi che gli utenti malintenzionati possono quindi associare con le password possibili.

Il secondo argomento è che applicando requisiti di username un po 'unici un sito può sperare di dissuadere gli utenti dal scegliere le stesse credenziali che hanno usato su altri siti. Questa è una minaccia molto reale ed è difficile per un sito fare qualcosa oltre a far rispettare requisiti di nomi utente insoliti (o assegnare gli stessi ID). Tuttavia, uno studio fantastico del 2010 ha monitorato il nome utente effettivo e il riutilizzo della password da persone tra le loro banche e altri siti. Lo studio ha rilevato che le persone hanno effettivamente riutilizzato la propria password bancaria su altri siti il 73% delle volte, ma anche ha rilevato che anche se una banca applicava convenzioni utente univoche, le persone avrebbero riutilizzato quel nome utente almeno su un'altra sito il 42% delle volte.

Pertanto, l'applicazione di requisiti unici per i nomi utente ha ridotto le possibilità di condivisione delle credenziali, ma certamente non ha eliminato tale possibilità. Ma quel rischio più basso può ancora essere visto da alcuni siti come vale la pena per gli utenti.

Un altro motivo possibile, che è meno di un argomento e più di un requisito, è la compatibilità del sistema legacy. Qualunque sia il potenziale software vecchio che sta facendo il back-end dietro il front-web snazzy potrebbe essere stato codificato per accettare solo nomi utente formattati in un certo modo. Senza strappo e sostituzione di quel software il sito potrebbe rimanere bloccato passando per la restrizione ai clienti. Gli 'ID utente non possono iniziare con una riga X' mi inducono a credere che questo potrebbe essere un fattore nel tuo caso.

Questi requisiti dei nomi utente possono causare nomi utente meno prevedibili. Non penso che ciò fornisca un sostanziale miglioramento della sicurezza, ma posso pensare a un paio di scenari in cui aiutano un po '. Dubito che compensi la perdita di usabilità, ma non ho prove concrete per concludere. Come al solito, sicurezza a scapito di usabilità, a scapito della sicurezza. : se gli utenti hanno maggiori probabilità di dimenticare i loro nomi utente, ciò significa che dovranno memorizzare il loro nome utente in una posizione non sicura (che sconfigge lo scopo) o devono essere un modo per recuperare il loro nome utente (che potrebbe non essere strongmente autenticato).

I nomi utente meno prevedibili migliorano la privacy. Se provo a creare un account johnsmith e fallisce perché quel nome utente è già in uso, questo mi dice che John Smith sta bancando con quella ditta. Se l'account di John Smith è johnsmith1 , ho bisogno di enumerare più nomi utente. Tuttavia, con i nomi utente scelti dall'utente, il suffisso 1 è una scommessa molto buona. La maggior parte dei siti Web si basa su indirizzi e-mail come token unici: se voglio creare un account come [email protected] , ho bisogno di dimostrare che posso leggere l'e-mail inviata a questo indirizzo. Le banche sono solitamente riluttanti a dipendere dalla sicurezza esterna, quindi tendono a non voler dipendere dai provider di posta elettronica.

Un numero significativo di attacchi al sistema bancario viene eseguito in un ambiente domestico - un coniuge, un figlio, un visitatore, ecc. Un nome utente meno prevedibile può migliorare la riservatezza contro un aggressore casuale che ha accesso al computer della vittima ma è più probabilità di compiere attacchi opportunistici piuttosto che ricercare seriamente il loro attacco. Ancora una volta, con un nome utente scelto dall'utente, il requisito di complessità non è un miglioramento significativo: molti utenti lasceranno il proprio nome utente pre-compilato nel browser e, se non scelgono johnsmith1 , è probabile che la variazione sia nota all'attaccante poiché si conoscono bene.

I nomi utente meno prevedibili migliorano anche la difesa contro gli attacchi non mirati che funzionano provando molte combinazioni di nome utente e password fino a quando non viene trovato uno debole. Anche in questo caso, dover provare johnsmith1 oltre a johnsmith non fornisce un miglioramento significativo.

Come per gli ID utente che non iniziano con X ... è una banca. Nelle profondità dell'intestino da qualche parte c'è un programma COBOL in esecuzione su un grosso ferro IBM emulato che gira su un grosso ferro IBM emulato un po 'più recente che gira su un VAX emulato che gira su una macchina virtuale su un processore x86. Prima che tu nascessi, qualcuno ha deciso che sarebbe stata una buona idea indicare i record cancellati inserendo un X nella diciassettesima colonna. Il programmatore COBOL che è stato portato fuori dal requisito di correggere il bug Y2K offerto per risolvere anche questo, ma è stato detto che questo era al di fuori delle specifiche del lavoro e non doveva toccare qualcosa che funzionasse (questo avrebbe potuto funzionare diversamente se la banca il nome del regista era stato Xavier invece di George).

1. Per rendere gli ID utente meno prevedibili.
2. Conformarsi ad altri sistemi.

Le ragioni per gli ID utente meno prevedibili potrebbero essere:

1. Un'applicazione limita un numero di tentativi di password (una cosa tipica per internet banking) per un ID utente. Quindi un utente malintenzionato può attivare un attacco "prova la password 123456 per tutti gli ID utente conosciuti". Se l'autore dell'attacco non conosce la grande quantità di ID utente, questo attacco non ha molto senso.

2. Un'applicazione potrebbe avere alcuni difetti di sicurezza di progettazione che non conosciamo. Ad esempio, un'applicazione potrebbe utilizzare un ID utente per derivare un token di sessione.

'X' come prima lettera potrebbe non essere consentito per impedire l'interpretazione di un ID utente da parte di un sistema (legacy) come numero esadecimale.

Sono d'accordo sul fatto che forzare un nome utente strano renderà l'account più difficile (in quanto funziona come una sorta di seconda password) anziché avere lo stesso nome utente dell'account XYZ di cui riutilizzano la password. (Ma imporre alcuni requisiti rende anche più facile che l'utente dimentichi il proprio nome utente!)

Il motivo principale che vedo per l'impostazione di una lunghezza minima sul nome utente è quello di assicurarsi che non usino nomi comuni come "Joe", ma forzare qualcosa di più unico (magari aggiungono il cognome, una data ...)

Se devono essere comunicati per telefono, ha senso limitare i caratteri speciali. Richiedere una lettera contribuirebbe anche a farlo apparire come un normale nome utente. Non penso che abbia senso richiedere un numero nel nome utente.

Le regole bancarie sono in generale molto più sicure. Sospetto che i nomi utente che iniziano con X vengano utilizzati internamente (ad esempio un utente di prova, un account riservato ...).

Sono d'accordo sul fatto che forzare un nome utente strano renderà l'account più difficile (in quanto funziona come una sorta di seconda password) anziché avere lo stesso nome utente dell'account XYZ di cui riutilizzano la password. (Ma imporre alcuni requisiti rende anche più facile che l'utente dimentichi il proprio nome utente!