Esistono buoni motivi di sicurezza per un'applicazione web per limitare la lunghezza di un nome utente?
Se esiste, quale dovrebbe essere la lunghezza minima e massima consentita?
Non esiste un buon motivo di sicurezza per limitare la lunghezza di un nome utente. L'unico motivo per limitare la lunghezza del nome utente è quindi non estendere parti del sito web quando è visualizzato, ma anche questo può essere risolto in modo diverso.
Se si tratta di posta elettronica, è necessario gestire fino a 254 caratteri per essere in linea con il resto. Se si tratta di nome utente, PCI limita a 16, ma penso che 32 sarebbe perfetto.
Il limite è di prevenire effettivamente bug, ad esempio inserire una chiave troppo grande (più quindi l'indice sql), renderizzare la pagina in modo diverso, così come potrebbero esserci dei limiti imposti dai dispositivi hardware / altri sistemi se la lunghezza non può essere più lunga, quindi 32 caratteri come su Linux dovrebbero andare bene, almeno per me.
È importante ricordare che in alcuni ambienti, la limitazione di un nome utente può anche comportare il suo rischio per la sicurezza.
Quando si esegue la bruteforcing di un accesso a un'applicazione Web, in cui non sono noti nomi utente o password, spesso è più sensato prendere una serie di password comuni e tentare di indovinare i nomi utente. La teoria è che dato il numero X di utenti di un'applicazione web, è più che probabile che un certo numero di quegli utenti avrà password settimanali. Questo tipo di bruteforce aiuta anche a superare i criteri di blocco delle password.
Ora ovviamente c'è un compromesso tra sicurezza e usabilità, l'ultima cosa che vuoi se permetti a ogni personaggio e scopri che la maggior parte del tuo tempo viene speso rispondendo alle richieste di assistenza clienti per nomi utente persi, ma quando si prendono in considerazione le restrizioni, io trovare il modo migliore per essere il più restrittivo possibile.
Leggi altre domande sui tag web-application