web-dev-qa-db-ja.com

ユーザー名の長さ/複雑さ/一意性はセキュリティにプラスの影響を与えますか?

より長い/より複雑なユーザー名を使用することは、短い/基本的なユーザー名を使用するよりも安全であると考えられていますか?ユーザー名の一意性はセキュリティにプラスの影響を与えますか?

これは、攻撃者がユーザー名が何であるかを認識していないことを前提としています。リモート端末ログイン。

30
user389823

ユーザー名を推測するのが難しいと、セキュリティが強化されますif秘密にされます。

問題は

  1. ユーザー名は特に秘密にされないことがよくあります。複数のユーザーがログインできるほとんどのシステムでは、すべてのユーザーが有効なユーザーのリストを表示できます。メールサーバーを実行するシステムでは、ほとんどのメールサーバーがローカルユーザーのメールを受け入れるため、メールサーバーを効果的に使用して、ユーザー名が有効かどうかを確認できます。さまざまなプログラムは、サーバーに接続するときに、デフォルトで発信トラフィックにユーザー名を含めることがあります。攻撃者は、新しいユーザーのサインアップフォームまたはパスワード回復フォームを使用して、ユーザー名が盗まれたかどうかを確認できます。

  2. 多くの場合、ユーザー名はパスワードよりも変更が困難です。

そのため、ログイン資格情報にさらに複雑さを加える場合は、ユーザー名ではなく、パスワードにその複雑さを加える習慣をつけるのが最善です。

70
Peter Green

いいえ。ユーザー名はnotは秘密にしておく必要があるため、秘密にされません。ユーザー名は公開IDです。セキュリティを信頼するのは賢明ではありません。

33
d1str0

少しプラスの影響がありますが、それに頼ることはできません。そして、この小さな影響は、複雑なユーザー名を持つことには意味がありません。システムはユーザー名を秘密に保つように設計されていないため、ユーザー名を秘密に保つことは困難です。

それはセキュリティではなく曖昧さについてです。

4
ferit

これまで他の回答では言及されていなかった有用な点が1つあります。ユーザー名をランダムに、異なるサイト間で異なるようにしておくと、部外者がさまざまなサイト間でアクティビティを接続することが難しくなります。ユーザー名をグーグルで検索する代わりに、アクティビティを追跡したい人は、使用しているIPアドレスを追跡するなど、他の手段を使用して、パブリックユーザー名を持つさまざまなサイト間でアクティビティを相互に関連付ける必要があります。

1
liori

はい、ユーザー名の複雑さを増すと、全体的にセキュリティが向上します。セキュリティの観点から重要なのは、ユーザー名とパスワードの組み合わせです。そのため、その組み合わせを推測しにくくするために行うことはすべて役に立ちます。

一部のサービスは、パスワードが失敗した場合でも、正しく推測されたユーザー名に対して肯定的なフィードバックを提供します。ユーザー名を確認することは、ハッカーが持つべきではない情報の1つの余分なビットです。

1
user1751825

はい、あなたが説明する場合のセキュリティに重要な追加があります。実際、多くのシステムでは、rootguestなどのよく知られた名前のアカウントのログインを無効にします。この理由は正確です。攻撃者は、実際の攻撃を開始する前に有効なユーザー名を取得する必要があります。

もちろん、特にrootログインを無効にする理由は他にもありますが、予測可能なユーザー名が問題の一部です。

1

Obscurityテクニックによるすべてのセキュリティと同じように、これはセキュリティをいくらか追加しますが、信頼できるセキュリティではありません。

これを実行しても追加のコストがなく、ビジネスに影響を与えない場合は、攻撃者にある程度の時間がかかる可能性がありますが、何も確実に防ぐことはできません。

アナロジーは砂漠の真ん中に家を建てることです-それを見つけるのは難しいです。しかし、あなたはまだ家が保護されることを望んでいます。

1
niilzon