C'è un ulteriore vantaggio sulla sicurezza dei requisiti di complessità del nome utente?

Naviga le tue risposte
9

Ultimamente mi sono imbattuto in diversi siti che hanno requisiti di complessità per i nomi utente come "deve avere una lunghezza di 8 caratteri e contenere almeno 2 numeri". C'è un reale vantaggio aggiunto a questo dal punto di vista della sicurezza?

Penserei che dal momento che un nome utente è progettato per essere un identificatore e non un segreto che questa è una politica inutile e noiosa da avere. Mi infastidisce particolarmente perché si presenta come un requisito di "sicurezza" che fornisce solo l'illusione della sicurezza a scapito della convenienza.

    
posta pdubs 26.08.2011 - 23:05
fonte

5 risposte

6

Non riesco a pensare a un beneficio di sicurezza tangibile, a parte forse forse è un po 'più difficile enumerare i nomi degli utenti. Qualche pratica di sicurezza attraverso l'oscurità, penserei che avrebbe lo svantaggio di richiedere ai tuoi utenti di scrivere il loro nome utente per ricordarlo, forse sconfiggendo lo scopo di un nome utente complesso.

D'altra parte, non sono sicuro di quanto sia prevalente utilizzare keystore come KeePass; sorta di fare ricordare il nome utente irrilevante.

    
risposta data 27.08.2011 - 02:17
fonte
3

Il ragionamento alla base del requisito potrebbe essere quello di scoraggiare gli utenti dal riutilizzare un nome utente e una password da un altro sistema.

    
risposta data 26.08.2011 - 23:55
fonte
2

La mia scommessa è che questo requisito è di abbassare la frequenza delle collisioni di username, perché tali collisioni possono innescare il supporto dell'utente (l'utente prova il suo nome, ma il nome è già stato preso, l'utente non capisce e telefona / invia email al webmaster). Quindi questo requisito è chiamato requisito sicurezza in modo che gli utenti lo inghiottiscano.

    
risposta data 27.08.2011 - 15:41
fonte
0

Sì, c'è una maggiore sicurezza con questi requisiti, ecco uno scenario che lo aiuterà a diventare chiaro (idealmente).

Scenario
Bob Jones è il CEO di AwesomeCo. Decide di creare il suo nome utente bobJones (o qualsiasi altra enumerazione di ciò che non include numeri come bob.jones, bJones, ecc.). Qualcuno che fa i compiti a casa scopre che questa è una società che è coinvolta in disastri ambientali e vuole vendicarsi. Il suo nome utente è facile da indovinare, il che riduce la complessità richiesta per accedere alle sue informazioni.

In genere, i requisiti di sicurezza relativi ai nomi utente prevedono che non possano contenere il nome, l'ultimo o il secondo nome. Ora in combinazione con le password, il requisito in genere è che non è possibile utilizzare il SID (nome utente), il primo, l'ultimo o il secondo nome. Questo in teoria dovrebbe rendere più difficile per un sistema rompere la combinazione utente / password in quanto dovrebbero essere reciprocamente esclusivi in una certa misura.

    
risposta data 27.08.2011 - 16:46
fonte
0

Potenzialmente il requisito di complessità del nome utente potrebbe essere parte di una mitigazione del DOS.

Non è necessario conoscere la password per bloccare un utente; hai solo bisogno del nome utente. Basta provare ad accedere cinque volte usando il nome utente e la password sbagliata, e voilà, l'utente è bloccato. Fai questo per un migliaio di utenti e hai creato un serio arretrato nel call center del sito.

    
risposta data 12.11.2013 - 23:04
fonte

Leggi altre domande sui tag

La stanza del server dell'edificio è sbloccata: quale pericolo è il mio edificio? Login senza password usando solo il tuo indirizzo e-mail?