web-dev-qa-db-ja.com

ユーザー名とログイン名の分離によるセキュリティの強化?

私はこの質問を見ました: ユーザー名の長さ/複雑さはセキュリティにプラスの影響を与えますか? 開発者の観点からユーザー名/パスワードについて考えさせられました。

アプリケーションの開発者がユーザーの「ユーザー名」(ログインに使用するもの)を「表示名」(他のユーザーに表示されるもの)から分離し、ユーザーが自分の「ユーザー名」を変更する機能を追加する場合、これは必然的に増加しますかセキュリティ?

なぜそれがセキュリティに役立つかについて、いくつかの考えがありました。

  • 攻撃が標的となっている場合、別のレイヤーを追加すると役立つ可能性がありますか?ユーザーがログイン名を秘密にしていて、表示名と同じにならないようにするルールがあるとします。
  • 表示名がユーザー名と異なる場合は、開発者がユーザー名を変更して、パスワードの変更と同様のセキュリティを追加するオプションにすることができます。
authenticationobscurity
4
Shelby115

ユーザーの期待と行動により、安全性は低下しますが、おそらく低下します。

あなたが提案しているのは、ユーザー名を2つに分割し、ユーザー名フィールドに半分を入力し、パスワードフィールドに1つを入力することと同じです。したがって、結合された文字列をパスワードとして使用することよりも優れていることはありません。

しかし、ユーザーは自分のユーザー名を秘密として扱うことはほとんどありません。パスワード管理者も同様です。そして多分あなたとあなたの開発者でさえありません。したがって、ユーザーのパスワードの半分は安全ではありません。

パスワードと認証を操作するためのよく知られたパターンがあります。通常は一緒にいるのが最善です。

4
Neil Smithline