Frage:
Beeinflusst die Länge / Komplexität / Eindeutigkeit des Benutzernamens die Sicherheit positiv?
user389823
2016-03-24 07:34:26 UTC
view on stackexchange narkive permalink

Wird ein längerer / komplexerer Benutzername als sicherer angesehen als ein kürzerer / einfacherer? Würde sich die Eindeutigkeit eines Benutzernamens positiv auf die Sicherheit auswirken?

Dies setzt voraus, dass Gegner nicht wissen, wie der Benutzername lauten könnte, z. ein Remote-Terminal-Login.

Bei einigen Angriffen wird nicht ein Kennwort verwendet, das von vielen Benutzern erwartet wird, und stattdessen der Benutzername brutal erzwungen?
Similar question with [answers here](https://security.stackexchange.com/questions/66364/what-is-the-point-in-having-arbitrary-username-requirements/).
Sie sind sich nicht sicher, ob dies relevant ist, aber wenn Sie unterschiedliche Benutzernamen für unterschiedliche Systeme verwenden, z. B. bank@mydomain.com und amazon@mydomain.com, können Sie leichter nachverfolgen, welche Anmeldeinformationen kompromittiert wurden (oder welche E-Mail-Details verkauft wurden).Ich denke, dies erhöht die Sicherheit, aber ich denke nicht, dass es genau das ist, was Sie gefragt haben.
Dies hängt irgendwie mit [einer Frage, die ich vor einiger Zeit gestellt habe] zusammen (http://security.stackexchange.com/questions/66364);Meine Frage betraf Systemdesigner, die Benutzer dazu zwangen, bestimmte Anforderungen an Benutzernamen einzuhalten.Die Antworten dort geben einen Einblick in das Problem der Länge des Benutzernamens.
Da Benutzernamen normalerweise nicht geheim gehalten werden, werden sie von Software, die sich mit Benutzernamen befasst, nicht als vertrauliche Informationen behandelt.OpenSSH zum Beispiel _still_ hat einen Fehler, der es jemandem ermöglicht, Benutzernamen aufzulisten, wenn auf dem SSH-Server die Blowfish-Verschlüsselung aufgrund eines Timing-Angriffs aktiviert ist.
Sieben antworten:
Peter Green
2016-03-24 08:15:59 UTC
view on stackexchange narkive permalink

Ein schwerer zu erratender Benutzername erhöht die Sicherheit , wenn er geheim gehalten wird.

Die Probleme sind

  1. Benutzernamen sind häufig nicht besonders geheim gehalten. Auf den meisten Systemen, auf denen sich mehrere Benutzer anmelden können, kann jeder Benutzer die Liste der gültigen Benutzer anzeigen. Auf Systemen, auf denen Mailserver ausgeführt werden, kann der Mailserver effektiv verwendet werden, um zu überprüfen, ob ein Benutzername gültig ist, da die meisten Mailserver E-Mails für lokale Benutzer akzeptieren. Verschiedene Programme können Ihren Benutzernamen standardmäßig in den ausgehenden Datenverkehr aufnehmen, wenn sie eine Verbindung zu Servern herstellen. Mit neuen Benutzeranmeldeformularen oder Kennwortwiederherstellungsformularen kann ein Angreifer möglicherweise überprüfen, ob ein Benutzername verwendet wird.

  2. Benutzernamen sind häufig schwieriger zu ändern als Kennwörter.

    3. ol>

    Wenn Sie Ihren Anmeldeinformationen zusätzliche Komplexität hinzufügen, sollten Sie sich angewöhnen, diese zusätzliche Komplexität in das Kennwort und nicht in den Benutzernamen einzufügen.

Diese Antwort ist für diesen zweiten Punkt großartig.
Benutzernamen sind per Definition nicht geheim (wer ist der Besitzer dieser Datei?). Ein komplexer Benutzername verringert die Sicherheit geringfügig, da er die Komplexität und die Wahrscheinlichkeit eines Fehlers erhöht.
Es ist eine Schande, dass Benutzernamen nicht geheim gehalten werden, insbesondere für Websites, die Sie sperren, wenn Sie das Kennwort nach x Versuchen nicht korrigieren. Beispielsweise kann Ihr Bankkonto für Personen gesperrt werden, die dreimal versuchen, darauf zuzugreifen. Dies wäre viel weniger wahrscheinlich, wenn die Benutzernamen selbst geheim gehalten würden.
My work email address is monty.harder@..., but the corresponding username on the domain is something very different, which does not include any part of my name at all. Someone already on our corporate network could fairly easily get my username, but from outside the network, no way to do that. This is part of a deliberate design to protect even the usernames from being disclosed to a potential attacker.
@spacetyper Ich würde genau das Gegenteil argumentieren.Machen Sie BEIDE den Benutzernamen und das Passwort nicht erforderlich, erhöht die Sicherheit kaum oder gar nicht und erschwert den Benutzern den Zugriff auf eine Site erheblich.Das Problem ist, dass viele Leute hier denken, Sicherheit sei das einzige, was zählt.Sicherheit ist immer ein Gleichgewicht zwischen der Bereitstellung eines Dienstes und dem Risiko, dass der Dienst gefährdet wird.Wenn Sie reine Sicherheit wünschen, bieten Sie den Service überhaupt nicht an!
@mpez0 Nicht unbedingt.In meinem WordPress-Blog unterscheidet sich beispielsweise mein Login-Benutzername von meinem "Autor-Benutzernamen" (der Name, der in meinen Posts angezeigt wird).Ich betrachte den Anmeldenamen als ein Geheimnis und eine Sicherheitsfunktion: Ich habe ein Sicherheits-Plugin eingerichtet, das mir eine E-Mail sendet, wenn sich jemand mit diesem Namen anmeldet, und fehlgeschlagene Anmeldungen nach Namen meldet.Wenn ich jemals jemanden außer mir sehen würde, der versucht, meinen Anmeldenamen zu verwenden, selbst wenn er nicht erfolgreich wäre, wäre ich besorgt, da es nicht leicht zu erraten ist, mich entweder beiläufig zu kennen oder meine Beiträge zu lesen.
Der Benutzername kann erraten werden - manchmal, wenn ich ein Konto erstellen möchte, erhalte ich die Fehlermeldung "Dieser Benutzername existiert bereits".Einige Websites haben sogar eine Schaltfläche in einem Registrierungsformular, um zu überprüfen, ob der aktuell eingegebene Benutzername nicht verwendet wird (oder er wird automatisch überprüft, wenn der Benutzername eingegeben wird), und eine Warnung wird angezeigt, wenn er verwendet wird.Ich denke, das macht den Benutzernamen nicht geheim.
d1str0
2016-03-24 08:18:34 UTC
view on stackexchange narkive permalink

Nein. Ein Benutzername soll nicht geheim gehalten werden und wird es daher auch nicht sein. Ein Benutzername ist eine öffentliche ID. Sich aus Sicherheitsgründen darauf zu verlassen, ist nicht klug.

Diese Antwort ist richtig, vorausgesetzt, das Passwort ist schwach gewählt und der Benutzername ist der einzige Sicherheitsmechanismus. Stellen Sie sich das folgende Szenario vor: Ich verwende KeePass zum Speichern von Kennwörtern. Was würde passieren, wenn ich ** AUCH ** zufällig einen zufälligen und langen Benutzernamen generiere (was mir eigentlich egal ist)? Erhöht dies die Sicherheit noch ein wenig? Und die Antwort darauf ist, dass Sie * sicher * die Sicherheit nicht reduzieren. Abhängig vom System kann es eine gewisse Sicherheit * hinzufügen * (wenn es nicht völlig trivial ist, die Benutzernamen des Systems zu ermitteln) oder völlig nutzlos sein (z. B. ist die Liste der Benutzernamen öffentlich).
This is why using e.g. an SSN, which identifies U.S. citizens, as a password, is a terrible idea.
Ich bin damit einverstanden, dass Sie sich nicht darauf verlassen, aber das Ändern von Benutzernamen in m453627 erhöht die Unklarheit und erschwert es einer Person, zu wissen, ob sie eine ID hat, die mit einem Systemadministrator, einem Finanzbenutzer oder einem anderen Personennamen übereinstimmtleicht gegoogelt.Wenn sich eine Person in ein System hackt und einen zufälligen Benutzernamen wie oben hat, ist es zeitaufwändiger, herauszufinden, mit welchem Konto sie es zu tun hat, über welche Berechtigungen sie verfügt und wo im Netzwerk sie zugreifen kann.
johnSmith von einigen Websites ist viel einfacher zu googeln, um seinen Job und seine Rolle im Unternehmen herauszufinden, als m453632.Für öffentliche Webseiten wie StachExchange wird die Sicherheit wahrscheinlich nicht wesentlich erhöht, für gesperrte Unternehmen kann dies jedoch eine nette Sicherheitsverbesserung sein.
ferit
2016-03-24 07:39:13 UTC
view on stackexchange narkive permalink

Es hat ein wenig positive Auswirkungen, aber Sie können sich nicht darauf verlassen. Und diese kleine Auswirkung ist es nicht wert, einen komplexen Benutzernamen zu haben. Systeme sind nicht dafür ausgelegt, Benutzernamen geheim zu halten, daher ist es zu schwierig, sie geheim zu halten.

Es geht um Dunkelheit, nicht um Sicherheit.

Ein komplexer Benutzername kann Benutzer dazu ermutigen, einen Kennwortmanager zu verwenden, anstatt schwache Anmeldeinformationen zu verwenden, die gespeichert werden können.
Ebenso spekulativ ist, dass Benutzer dadurch zu unsicheren Methoden zum Speichern des Benutzernamens mit Kennwort zurückkehren würden.
AilirdzylnCMT Why would a complex username make them want to use a password manager (other than to remember the complex username)? In either case, if they think "_the username is complex_" I would think many will conclude "_so it doesn't matter if the password is simple_".
AilixpaqysCMT Was?
@user1751825 Ein komplexer Benutzername würde die Benutzer dazu ermutigen, ihre Benutzernamen aufzuschreiben.Wahrscheinlich zusammen mit dem Passwort.Auf einem Post-It-Zettel.Und wahrscheinlich wird diese Notiz wahrscheinlich auf den Monitor des Benutzers geklebt.
user1751825
2016-03-24 07:42:52 UTC
view on stackexchange narkive permalink

Ja, wenn Sie die Komplexität eines Benutzernamens erhöhen, wird die Sicherheit insgesamt verbessert. Aus Sicherheitsgründen ist die Kombination aus Benutzername und Kennwort von Bedeutung. Alles, was Sie tun, um diese Kombination schwieriger zu erraten, hilft.

Einige Dienste geben ein positives Feedback für einen korrekt erratenen Benutzernamen , auch wenn das Passwort dann fehlschlägt. Ein bestätigter Benutzername ist eine zusätzliche Information, die ein Hacker nicht haben sollte.

Abgestimmt?Dies ist eine absolut vernünftige und akzeptable Antwort.Unternehmen beginnen, sich von einfachen Benutzernamen zu dunkeleren Optionen zu entfernen, um eine weitere Schutzschicht hinzuzufügen (auch wenn diese klein ist).Neue Benutzer in großen Unternehmen haben keine Benutzernamen mehr, die sich leicht für eine Person identifizieren lassen (ex username = "m3569918"), um eine zusätzliche Schutzschicht hinzuzufügen.Dies macht es für jemanden sehr viel schwieriger, Benutzerinformationen abzurufen, in den Benutzernamen zu schauen und zu sehen, für welches Konto er eine Vorstellung davon haben muss, in welchem Teil eines Netzwerks er sich mit welchen Berechtigungen befindet
+1 von mir.Obwohl ich angegeben hätte, dass eine zunehmende Komplexität, indem der Benutzername für einen bestimmten Benutzer keine Bedeutung hat (z. B. m453627 anstelle eines Benutzernamens), für Dunkelheit sorgt und die Gesamtsicherheit eines Netzwerks erhöht.
Dmitry Grigoryev
2016-03-24 19:21:06 UTC
view on stackexchange narkive permalink

Ja, in dem von Ihnen beschriebenen Fall wird die Sicherheit erheblich erhöht. Tatsächlich deaktivieren viele Systeme Anmeldungen für Konten mit bekannten Namen, wie z. B. root oder guest , genau aus diesem Grund: Der Angreifer muss vor dem Start des Programms einen gültigen Benutzernamen erwerben tatsächlicher Angriff.

Natürlich gibt es auch andere Gründe, die root -Anmeldung zu deaktivieren, aber ein vorhersehbarer Benutzername ist Teil des Problems.

niilzon
2016-03-24 19:46:56 UTC
view on stackexchange narkive permalink

Wie bei allen Techniken der Sicherheit durch Dunkelheit würde dies eine gewisse Sicherheit hinzufügen, ist jedoch keine zuverlässige Sicherheit.

Wenn dies keine zusätzlichen Kosten verursacht und die Geschäftigkeit nicht beeinträchtigt, ist dies eine nette kleine Ergänzung könnte für Angreifer einige Zeit kosten, aber das wird nichts zuverlässig verhindern.

Eine Analogie wäre, ein Haus mitten in einer Wüste zu bauen - es ist schwer zu finden. Aber Sie möchten immer noch, dass das Haus geschützt wird.

liori
2016-03-27 02:37:50 UTC
view on stackexchange narkive permalink

Es gibt einen Punkt, den ich nützlich finde und der bisher in anderen Antworten nicht erwähnt wurde. Wenn Sie Ihre Benutzernamen zufällig und zwischen verschiedenen Websites unterschiedlich halten, ist es für einen Außenstehenden schwieriger, Ihre Aktivitäten zwischen verschiedenen Websites zu verbinden. Anstatt nach Ihrem Benutzernamen zu googeln, muss jemand, der Ihre Aktivitäten verfolgen möchte, andere Mittel verwenden, z. B. die Verfolgung der von Ihnen verwendeten IP-Adressen, um Ihre Aktivitäten zwischen verschiedenen Websites mit öffentlichen Benutzernamen zu korrelieren. Dies erschwert beispielsweise die Belästigung.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...