Utilizzo di un nome utente pubblico come nome utente di accesso

4

Mi sono appena reso conto che un sistema che sto sviluppando espone il nome utente di un utente nell'URI. Questo è un problema, dal momento che alcune pagine degli utenti sono pubbliche. Pertanto le persone conosceranno il loro nome utente.

Ho pensato che questo sarebbe stato un problema di sicurezza, ma poi ho capito che nomi grandi come Twitter fanno la stessa cosa. Praticamente tutti gli utenti di Twitter hanno il loro nome utente su schermo intero.

Se un grande nome come Twitter lo vede come sicuro, dovrei anche assumere lo stesso?

    
posta Gaz_Edge 06.03.2013 - 17:57
fonte

1 risposta

6

Praticamente tutti i siti web che conosco fanno lo stesso.

La sicurezza dell'account si basa sulla password, non sul nome utente. Questa password deve essere tenuta segreta e sicura.

  • Se lo è, non importa chi conosce i nomi utente.

  • In caso contrario, gestiscilo perché è il problema principale: nascondere i nomi utente non sarà di aiuto.

Nota che basarsi sul fatto che l'applicazione web non visualizza il nome utente è problematico per qualche altro motivo:

  • Se il database viene violato, l'hacker ha i nomi di ogni utente. Mentre è possibile (e dovrebbe) evitare di memorizzare le password degli utenti ovunque sui server, potrebbe non essere possibile fare lo stesso con i nomi utente. Ad esempio, la memorizzazione solo dell'hash dell'e-mail rende impossibile contattare la persona in seguito tramite e-mail.

  • Con un po 'di ingegneria sociale, è facile determinare qual è il nome utente o l'indirizzo e-mail utilizzato per accedere all'applicazione web. Facciamo un esempio. Vuoi sapere che cosa utilizzo per accedere a Stack Exchange. Da il mio profilo , ottieni il mio vero nome. Una rapida ricerca su Google rivela il mio profilo Google+ con il mio indirizzo e-mail personale , così come il mio pieno profilo sul sito web della mia azienda come primo risultato di ricerca, questo secondo profilo contenente il mio indirizzo e-mail aziendale . Questo ti dà due potenziali indirizzi.

    Da Gravatar, si apprende che l'hash MD5 del mio indirizzo e-mail è

    0f379b115b9090a1df9319f17574fa8b
    

    Sorprendentemente, due indirizzi e-mail che hai trovato in precedenza hanno hash diversi:

    97ec33bbad0a2e26f7fcc1feea6447fc
    60597478d2736c4eeb915327474e8fab
    

    Vediamo quali informazioni aggiuntive possiamo ottenere. Possiamo:

    • O esplorare il mio profilo sul sito Web della mia azienda per trovare uno screenshot di Password Manager, un'app che ho sviluppato. Questa schermata mostra due indirizzi e-mail: il mio personale, già trovato tramite Google+ e uno nuovo. Un rapido test MD5 rivela che corrisponde.

    • Oppure guarda i risultati di Google per il mio nome e cognome e nota che menzionano lakaidreams.com. Una ricerca whois mostra non solo che sono il proprietario del dominio, ma rivela anche lo stesso indirizzo di posta elettronica.

Come vedi, se Stack Exchange faceva affidamento sulla segretezza del mio indirizzo e-mail per impedire l'accesso non autorizzato al mio account, non si poteva essere sicuri che la persona che sta scrivendo questa risposta sia proprio io.

    
risposta data 06.03.2013 - 18:04
fonte

Leggi altre domande sui tag