Creazione di criteri nome utente e best practice

La mia opinione: se la sicurezza è ben progettata, non è necessaria una politica sui nomi utente. Non hai bisogno di cercare di impedire agli attaccanti di indovinare i nomi utente se hai fatto il resto della tua sicurezza, perché non farà nulla di male ai cattivi per essere in grado di indovinare i nomi utente se non possono (es. ) indovina la password corrispondente.

Potresti voler porre dei limiti su quali nomi utente possono essere scelti dagli utenti, per assicurarti che un utente casuale non crei un nome utente che implichi una posizione ufficiale nella tua azienda. Ad esempio, potresti voler impedire agli utenti ordinari di selezionare un nome utente come root o admin o abuse o webmaster o spam o help , solo per evitare che altri utenti vengano confusi da loro.

Ho incluso un paio di fonti, ma parliamo dei problemi.

I nomi utente non dovrebbero essere una protezione per l'autenticazione. L'autenticazione è separata dall'identificazione. L'identificazione è un dato che descrive un individuo o un gruppo. Il più delle volte un nome utente è una sequenza di caratteri che identifica univocamente un individuo. In genere un individuo è autenticato con una password. Potrei affermare che sono Margret Thatcher, ma se non riesco a digitare la password di Margret Thatcher di quanto non possa autenticare come Margret Thatcher.

A parte questo ci possono essere alcuni problemi di sicurezza con i nomi utente.

Nomi utente che possono causare un comportamento indesiderato nel sistema di autenticazione.

• Eccessivi nomi utente lunghi: questo è praticamente un nome utente indicato per un flusso di bitflow
• Nomi utente con caratteri insoliti o di controllo: proc␀ess␠thisäifÄuÜc'aÖn; ü

I nomi utente tendono a causare confusione

• Richiesta di amministratore
• non valido
• Valido
• Errore
• MOTD
• Utente autenticato
• login:
• Password:
• root / \

University of South Australia

1.4 Il nome utente deve essere univoco e invariato per una persona Ogni persona dovrebbe normalmente avere un nome utente univoco che può conservare per tutta la sua vita all'Università. I nomi utente dello staff sono distinguibili dai nomi utente degli studenti. Mentre il personale si sposta tra diversi centri di costo, il loro nome utente non dovrebbe cambiare, ma le autorizzazioni associate dovrebbero riflettere l'accesso appropriato per il loro nuovo ruolo.

1.5 Il personale che è anche studente avrà due nomi utente I nomi utente dello staff sono diversi dai nomi utente degli studenti. È necessario essere in grado di fornire autorizzazioni diverse in base al ruolo di una persona come personale o studente. Al personale che è anche studente verrà fornita una coppia nome utente / password dello staff e una coppia nome utente / password studente. Ciò consente al personale di assumere il ruolo di uno studente quando non lavora nella sua normale posizione di lavoro.

link

Norme per i nomi utente di YouTube

Non nominare nomi - i nomi utente di YouTube sono molto richiesti. Come regola generale, ci si aspetta che gli utenti siano membri attivi all'interno della community di YouTube.

link

C'è una buona discussione sulla politica e le pratiche dei nomi utente qui: Dovrebbero essere mantenuti segreti i nomi utente ?

Sono d'accordo con @ D-w e @ this-josh in quanto i nomi utente sono per l'identificazione e non l'autenticazione, quindi la priorità per la comodità dell'utente sembra ragionevole. È molto più probabile che un utente ricordi un nome utente che è il suo indirizzo e-mail o il numero di cellulare di una combinazione casuale di numeri o lettere. Inoltre soddisfano la proprietà di essere univoci, sebbene questo possa anche essere indirizzato tramite un identificatore privato (ad esempio GUID) nel tuo database e un identificatore pubblico che è il loro nome utente.

Alcuni rischi da tenere presente se dipendono dal modello di minaccia su semplici nomi utente come l'indirizzo email o il numero di telefono che sono effettivamente informazioni pubbliche:

• Denial of service - se i nomi utente possono essere facilmente enumerati o indovinati e hai un criterio di blocco degli account, ciò può provocare un attacco denial of service

• Perdita di informazioni - l'indirizzo e-mail o il numero di telefono potrebbero essere considerati informazioni di identificazione personale, specialmente in combinazione con altre informazioni. I tuoi utenti o autorità di regolamentazione potrebbero non accettare questa informazione non protetta

• Attacchi con password - se il nome utente è facilmente ipotizzabile, è una delle informazioni in meno richieste da un utente malintenzionato. Probabilmente se utilizzi sia il nome utente che la lunghezza e complessità della password per calcolare la tua entropia / forza di autenticazione generale, avere un nome utente semplice richiede di avere una password molto più lunga per ottenere lo stesso valore

• Riutilizzo della password: gli utenti possono riutilizzare il proprio indirizzo email come nome utente e una password comune tra molti servizi. Se uno di questi viene compromesso, l'utente malintenzionato può compromettere gli altri più rapidamente rispetto a se il sistema avesse un nome utente diverso.

Se questi rischi sono troppo alti per essere accettati, allora probabilmente la migliore politica per i nomi utente è la stessa della tua politica per le password.