Наш менеджер по безопасности настаивает на том, чтобы мы использовали анонимные имена пользователей.
Например. для пользователя с именем Джон Доу его имя пользователя будет 'g74h19'вместо чего-то вроде'jdoe'.
У нас уже есть политика, которая блокирует учетную запись после трех неверных попыток входа в систему. Так что, за исключением того, что, возможно, усложняет DOS-атаку, я не вижу, как это может помочь безопасности - что еще хуже, вы больше не сможете видеть, кто есть кто в журналах.
Есть ли какие-либо рекомендации по безопасности, поддерживающие анонимные имена пользователей? (ссылка на сайт)
Кто-нибудь здесь их использует?
Я собираюсь подойти к этому с точки зрения домена Windows. Если я злоумышленник, Мне все равно какие имена пользователей. Я просто хочу их. Итак, я собираюсь найти систему, в которой нет RestrictAnonymous, или систему Windows 2000, и я собираюсь сканировать все имена пользователей в домене. Или я получу одну действительную учетную запись пользователя в домене и затем выполню указанные сканирования. Теперь у меня есть ВСЕ учетные записи пользователей, с которыми можно попробовать.
Да, и я тоже могу сканировать группы. Поэтому я буду искать действительно хороших, таких как администраторы домена или администраторы предприятия или группы, которые выглядят особенно интересными. И я посмотрю, кто входит в указанную группу, и позабочусь о них.
Поэтому, хотя анонимизация имен пользователей может показаться полезной, я не думаю, что они действительно повышают безопасность. И они усложняют задачу конечным пользователям, обслуживающему персоналу и администраторам при устранении неполадок определенного набора проблем пользователей.
анонимизированные имена пользователей - еще один пример защиты от неизвестности. Анонимизируя имя пользователя, злоумышленнику будет сложно угадать его, например, по адресу электронной почты. Например, Exchange часто использует имя пользователя как часть адреса электронной почты.
Как вы заявили, у вас действует политика блокировки, значит, у вас уже есть какой-то метод безопасности, и поэтому анонимность повысит вероятность достижения предела с помощью атаки грубой силы. Вы должны принять во внимание одну вещь: что, если пользователь случайно выдаст свой пароль? В случае, если имена пользователей не анонимны, у злоумышленника есть пароль, и он, вероятно, сможет угадать имя пользователя из своей электронной почты менее чем за 3 попытки. Если имя пользователя анонимно, это намного менее вероятно.
Таким образом, есть некоторые преимущества от их использования, но это зависит от того, перевешивает ли это ограниченное преимущество удобство простых имен пользователей. Насколько безопасности достаточно для вашей организации?
Безопасность и удобство использования должны постоянно уравновешиваться друг с другом. Это улучшит защиту от перебора или атаки с подстановкой имени пользователя, но значительно усложнит жизнь пользователям. Теперь пользователь должен запомнить 2 части (для них) случайной информации, чтобы иметь возможность войти в систему и выполнять свои рабочие функции. Это риск для бизнеса, поскольку пользователи с большей вероятностью либо запишут свои имена пользователей (и если они это сделают, это будет очень короткий шаг до записи своего пароля), либо забудут свое имя пользователя, что приведет к потере производительности. .
Не думаю, что стоит рандомизировать имена пользователей. Они отображаются на экране открытым текстом, поэтому в любом случае очень уязвимы для серфинга по плечу. Они также вызовут ненужное горе для пользователей. Что наиболее важно, они побуждают пользователей практиковать плохие привычки безопасности.
Они также могут быть полезны для маскировки данных между сотрудниками. Люди, составляющие отчеты о заработной плате и т. Д., Не понимают, кто что зарабатывает. Другие ситуации, когда руководство выбирает увольнения и данные об эффективности сотрудников предоставляются с анонимными именами пользователей, нельзя обвинять в выборе и выборе. Случайные вещи вроде этого.
Это имеет большее значение для крупных организаций, где использование частей имени и фамилии может вызвать много совпадений.
Изменить: скрытие имен пользователей также затрудняет определение учетных записей пользователей, которые вы хотите взломать. При стандартной схеме каждый будет знать имена пользователей CEO / CIO / CFO / Director. Гораздо сложнее выяснить, какой это номер служащего.
Это возникло при работе с доменом .EDU, но не из соображений безопасности. Как и многие другие, мы основываем наши имена пользователей (все еще придерживающиеся 8-символьных ограничений из-за наличия более старых серверов Solaris в нашей пользовательской среде) на реальном имени во время регистрации. Поскольку в любой момент времени у нас обучается от 19 000 до 23 000 активных студентов, это делается с помощью алгоритма, поэтому угадать имя пользователя данного пользователя по его настоящему имени не так сложно. В зависимости от того, как вы читаете правила (FERPA), это может считаться «службой каталогов» того типа, от которой они имеют право отказаться.
Это проблема. Если пользователь с довольно уникальным именем регистрируется, например, Фархид Закария, в процессе создания учетной записи ему будет присвоено имя пользователя. В данном случае это будет закариф. Легко догадаться. Если вы считаете, что это каталог, и они отказываются от него, нам придется изменить имя пользователя. Изменение имени пользователя - сложный процесс, который не автоматизирован. Когда студенты женятся и меняют фамилию, мы не меняем их имя пользователя. У нас есть сотрудники, которые вступили в брак в начале 90-х годов, но все еще имеют имена пользователей, включающие их старые фамилии.
Итак, возникает мысль, что, если при создании учетной записи мы назначим пользователям менее простые для получения имена? В университете, который я закончил, это имя будет «zaka0008»; первые четыре буквы фамилии и цифра для уникальности. Это непросто получить из данного имени, но все же содержит некоторые идентификаторы, помогающие пользователям запомнить его. Это позволит нам избежать переименования учетных записей.
Мы еще не сделали этого, поскольку у нас не было твердого решения о применимости FERPA к этой ситуации. Но это реальный пример перехода к менее очевидным именам пользователей.
Технически имя пользователя представляет собой половину шифра, поэтому использование легко угадываемого имени пользователя - то же самое, что использование легко угадываемой парольной фразы.