web-dev-qa-db-fra.com

Les noms d'utilisateur courts sont-ils une préoccupation de sécurité?

J'étais un peu surpris que le Sysadmin a approuvé un nom d'utilisateur d'une lettre comme "M" et mon nom d'utilisateur est également court ("nik"). Je pense que si les noms d'utilisateur sont une force brute attaquée, le nom d'utilisateur doit également être plus long que quelques personnages. Êtes-vous d'accord?

11
Niklas

Le nom d'utilisateur n'est pas un secret; Toute attaquante déterminée pourra découvrir les noms des utilisateurs de votre système.

Ce qui améliore votre sécurité, c'est s'il n'y a pas d'accès à distance pour "racine", "invité" et des noms de compte similaires trouvés sur de nombreux systèmes. En fait, Ubuntu désactive explicitement le compte "racine" car c'est une cible aussi favorite.

une lettre est en effet un peu courte, mais un bon identifiant peut rapidement voir si quelqu'un est en train de jouer avec votre réseau si les noms d'utilisateur de 3 lettres sont utilisés.

Mais à partir d'un point de vue de la sécurité, il faut supposer que le nom d'utilisateur est connu d'un attaquant puisqu'il est souvent facile à deviner ou non protégé du tout (fuir à un autre endroit) si de courts noms d'utilisateur ne sont pas tant de problème, lorsque les systèmes ont d'autres mécanismes de protection. en place.

6
LvB

De nombreux systèmes ont une manière standardisée de générer des noms d'utilisateur (nom de famille d'abord initiale, adresse e-mail, etc.) et d'autres systèmes laissent des noms d'utilisateur entièrement publics (WordPress, bien que vous puissiez vous cacher ensuite via des plugins). Il est donc courant d'avoir peu ou pas de secret quand il s'agit du choix des noms d'utilisateur.

C'est la raison des mots de passe en premier lieu. Si les noms d'utilisateur étaient destinés à être secrets et complexes, alors quel est exactement le point de mots de passe? À ce moment-là, vous auriez maintenant deux mots de passe.

Alors qu'un nom d'utilisateur de 3 ou 1 caractères semblait un peu excessif, il ne donne aucun avantage particulier à une attaque de force brute lorsqu'il est utilisé sur n'importe quel système prévisible ou pubien des noms d'utilisateur à la première place.

Un exemple de nom d'utilisateur qui pourrait/ferait de vous faire une cible d'attaques de force brute est quelque chose d'aussi courant que "racine" ou "administrateur" car ceux-ci ont été largement utilisés pour des comptes d'accès élevés.

1
KnightHawk

Personne ne va vous pirater sans ne pas connaître votre nom d'utilisateur. Votre mot de passe est celui qui vous empêche d'attaquer des attaques de force brute. Les spammeurs ont une base de données avec des adresses électroniques et n'envoient pas seulement au hasard des courriels à tous les noms d'utilisateurs possibles également. On dirait que rien n'est faux avec votre administrateur système.

0
Asen