Должен ли я попытаться свести к минимуму возможность обнаружения имен пользователей через создание учетной записи? - PullRequest
Новая
       3

Должен ли я попытаться свести к минимуму возможность обнаружения имен пользователей через создание учетной записи?

1 голос
/ 26 августа 2011

Итак, в моей системе есть учетные записи с логинами.

Если кто-то хочет создать новую учетную запись, очевидно, что он не может использовать тот же логин.

В результате форма / система создания учетной записи сама позволяет обнаруживать имена пользователей, уже находящиеся в системе (например, если вы попытаетесь создать учетную запись с именем пользователя «Admin», она либо разрешит, либо отклонит вас, разрешив чтобы узнать, есть ли имя пользователя «Admin», против которого можно использовать пароль или нет. Аналогично, если вы попытаетесь создать учетную запись «john», она сообщит вам, существует ли учетная запись john, и вы можете начать тестировать пароль john) .

Есть ли способ минимизировать этот эффект? Или я должен просто не беспокоиться об этой тактике обнаружения и эффективно предполагать, что имена пользователей являются публичной информацией?

Ответы [ 3 ]

5 голосов
/ 26 августа 2011

Стандарт предполагает, что имена пользователей являются публичными.

Если нет, единственное, что я могу предложить:

  • Назначьте имена пользователей (например, «ваше имя пользователя 5829103»)
  • Принудительно присваивать всем именам суффикс, назначенный серверу (например, wolever1242)
  • Случайно отрицают имена пользователей (то есть, чтобы сделать такое открытие более сложным)

Но ... Все эти отстой.

Лучше задать вопрос: какие векторы атак открываются, когда злоумышленник получает доступ к имени пользователя? В общем, их не так много, и их можно уменьшить с помощью других политик (например, ограничив число попыток входа в систему на имя пользователя в минуту или убедившись, что телефонные представители аутентифицируют вызывающего абонента, используя некоторый секрет в дополнение к имени пользователя).

0 голосов
/ 29 августа 2011

Интересный вопрос. Как часто речь идет о безопасности против. Применяемости. Наличие капчи предотвратит автоматическое обнаружение аккаунта.

0 голосов
/ 26 августа 2011

Не думаю, что с этим можно что-то сделать. Вам нужно показать им что-то, чтобы проверить, доступно ли имя пользователя, так что это отчасти неизбежно.

Даже если это ничего не даст, из-за того, что учетная запись не была создана с этим именем пользователя, они все равно смогут предположить, что имя пользователя недоступно, хотя и с меньшим удобством.

...