匿名用户名有必要吗?

匿名用户名有必要吗?

我们的安全经理坚持认为我们应该使用匿名用户名

例如,对于名为约翰·多伊他的用户名是“g74h19' 而不是像 '杰多“”。

我们已经有一项策略,即在三次无效登录尝试后锁定帐户。因此,除了可能使 DOS 攻击变得更加困难之外,我看不出这会对安全性有什么帮助 - 更糟糕的是,您将无法再在日志中看到谁是谁。

是否有支持匿名用户名的安全建议?(链接)

这里有人用它们吗?

答案1

我将从 Windows 域的角度来解决这个问题。如果我是攻击者,我不在乎用户名是什么。我只是想要它们。所以我要寻找一个没有 RestrictAnonymous 的系统,或者 Windows 2000 系统,然后扫描域中的所有用户名。或者我将获得域中的一个有效用户帐户,然后发出上述扫描。现在我有全部尝试针对的用户帐户。

哦,我还可以扫描群组。所以我会寻找真正优秀的群组,例如域管理员或企业管理员,或者看起来特别有趣的群组。然后我会查看相关群组的成员是谁,并寻找他们。

因此,尽管匿名用户名似乎有用,但我认为它实际上并没有多大提高安全性。而且在解决特定用户的问题时,它使最终用户、支持人员和管理员更加困难。

答案2

匿名用户名是另一个通过隐蔽性实现安全性的例子。通过匿名化用户名,攻击者很难从电子邮件地址等猜测它。例如,Exchange 经常使用用户名作为电子邮件地址的一部分。

正如您所说,您已实施锁定策略,因此您已经实施了一些安全措施,因此匿名化将更有可能通过暴力攻击达到极限。您应该考虑的一件事是,如果用户无意中泄露了密码怎么办?在用户名未匿名的情况下,攻击者拥有密码,并且很可能能够在 3 次尝试内从他们的电子邮件中猜出用户名。如果用户名是匿名的,这种可能性就小得多。

因此,拥有它们确实有一些好处,但这取决于这种有限的好处是否超过简单用户名带来的便利。您的组织需要多少安全保障才足够?

答案3

安全性和可用性必须不断相互平衡。这将提高对暴力破解或用户名猜测攻击的安全性,但会使用户的生活变得更加困难。用户现在必须记住 2 条(对他们来说)随机信息才能登录并执行他们的工作职能。这对企业来说是一个风险,因为用户更有可能写下他们的用户名(如果他们写下来,那么写下密码就很容易了)或忘记他们的用户名,从而导致生产力下降。

我认为不值得将用户名随机化。这些用户名以明文形式显示在屏幕上,因此很容易受到肩窥攻击。它们还会给用户带来不必要的麻烦。最重要的是,它们鼓励用户养成不良的安全习惯。

答案4

在为 .EDU 工作时,这个问题出现了,但不是出于安全原因。与许多人一样,我们的用户名(由于用户环境中存在较旧的 Solaris 服务器,因此仍然停留在 8 个字符的限制)基于注册时的真实姓名。由于我们在任何给定时间都有 19,000 到 23,000 名活跃学生,因此这是通过算法完成的,因此根据真实姓名猜测给定用户的用户名并不难。根据您对法规(FERPA)的解读,这可以算作他们有权选择退出的“目录服务”。

这就是问题所在。如果一个名字很独特的用户注册,例如 Farheed Zakaria,帐户生成过程将为他们分配一个用户名。在本例中,用户名将是“zakarif”。​​很容易猜到。如果你认为这是一个目录,而他们选择退出,那么我们就必须更改用户名。更改用户名是一个棘手的过程,而且不是自动的。当学生结婚并更改姓氏时,我们不会更改他们的用户名。我们有 90 年代初结婚的员工,他们的用户名仍然包含他们的旧姓氏。

那么,我们的想法是,如果在创建帐户时为用户分配不容易得出的名称会怎样?在我毕业的大学,上述名称将是“zaka0008”;姓氏的前四个字母和一个数字,以表示唯一性。这不容易从给定的名称中得出,但仍包含一些标识符来帮助用户记住它。这将使我们能够避免重命名帐户。

我们还没有这样做,因为我们还没有对 FERPA 是否适用于这种情况做出明确的裁定。但这是一个使用不太明显的用户名的真实例子。

相关内容