Avere un nome utente più lungo / più complesso è considerato più sicuro rispetto all'uso di uno più breve / base? L'unicità di un nome utente influirebbe positivamente sulla sicurezza?
Si presume che gli avversari non siano a conoscenza di quale potrebbe essere il nome utente, ad es. un accesso al terminale remoto.
Un nome utente più difficile da indovinare aggiunge alla sicurezza se è tenuto segreto.
I problemi sono
I nomi utente spesso non sono tenuti particolarmente segreti. Sulla maggior parte dei sistemi che consentono a più utenti di accedere, ogni utente può visualizzare l'elenco di utenti validi. Sui sistemi che eseguono i server di posta, il server di posta può essere utilizzato efficacemente per verificare se un nome utente potrebbe essere valido poiché la maggior parte dei server di posta accetterà la posta per qualsiasi utente locale. Vari programmi possono includere il tuo nome utente per impostazione predefinita nel traffico in uscita quando si collegano ai server. I nuovi moduli per l'iscrizione degli utenti o i moduli per il recupero della password possono consentire a un utente malintenzionato di verificare se viene utilizzato un nome utente.
I nomi utente sono spesso più difficili da modificare rispetto alle password.
Quindi, quando aggiungi ulteriore complessità alle tue credenziali di accesso, è meglio prendere l'abitudine di aggiungere quella complessità extra alla password piuttosto che al nome utente.
No. Un nome utente è not che dovrebbe essere tenuto segreto e quindi non lo sarà. Un nome utente è un ID pubblico. Affidarsi alla sicurezza non è intelligente.
Ha un piccolo impatto positivo, ma non puoi fare affidamento su di esso. E questo piccolo impatto non vale per avere un nome utente complesso. I sistemi non sono progettati per mantenere segreti i nomi utente, quindi tenerlo segreto sarà troppo difficile.
Riguarda l'oscurità e non la sicurezza.
Sì, aumentare la complessità di un nome utente migliorerà la sicurezza generale. È la combinazione di username e password che conta dal punto di vista della sicurezza, quindi qualsiasi cosa tu faccia per rendere questa combinazione più difficile da indovinare, ti aiuterà.
Alcuni servizi forniranno feedback affermativo per un nome utente corretto, anche se la password non riesce. Avere un nome utente confermato è un ulteriore bit di informazione che un hacker non dovrebbe avere.
Sì, c'è un'aggiunta significativa alla sicurezza nel caso che descrivi. In effetti, molti sistemi disabilitano gli accessi per account con nomi noti, come root o guest esattamente per questo motivo: l'utente malintenzionato dovrà acquisire un nome utente valido prima di iniziare l'attacco effettivo.
Ovviamente, ci sono altri motivi per disabilitare il% di accesso diroot in particolare, ma un nome utente prevedibile fa parte del problema.
Proprio come tutte le tecniche di Security through Obscurity, ciò aggiungerebbe un po 'di sicurezza ma non è una sicurezza affidabile.
Se fare questo non ha costi aggiuntivi e non ha alcun impatto sul business, è una piccola aggiunta che potrebbe costare un po 'di tempo agli aggressori ma che non impedisce in modo affidabile nulla.
Un'analogia sarebbe costruire una casa nel mezzo di un deserto - è difficile da trovare. Ma vuoi comunque che la casa sia protetta.
C'è un punto che ritengo utile non menzionato da altre risposte finora. Mantenere i tuoi nomi utente casuali e diversi tra diversi siti rende più difficile per un estraneo connettere le tue attività tra vari siti. Invece di cercare su google il tuo nome utente, qualcuno che desideri monitorare le tue attività dovrà utilizzare altri mezzi, come il monitoraggio degli indirizzi IP che utilizzi, per correlare le tue attività tra diversi siti che hanno nomi utente pubblici, rendendo, diciamo, molestie, più difficili. / p>
Leggi altre domande sui tag authentication password-policy obscurity user-names