Un nom d'utilisateur plus long/plus complexe est-il considéré comme plus sûr que d'utiliser un nom d'utilisateur plus court/basique? L'unicité d'un nom d'utilisateur aurait-elle un impact positif sur la sécurité?
Cela suppose que les adversaires ne sont pas conscients de ce que le nom d'utilisateur peut être, par exemple. une connexion au terminal distant.
Un nom d'utilisateur plus difficile à deviner ajoute à la sécurité if il est gardé secret.
Les problèmes sont
Les noms d'utilisateur ne sont souvent pas gardés particulièrement secrets. Sur la plupart des systèmes permettant à plusieurs utilisateurs de se connecter, tout utilisateur peut afficher la liste des utilisateurs valides. Sur les systèmes qui exécutent des serveurs de messagerie, le serveur de messagerie peut effectivement être utilisé pour vérifier si un nom d'utilisateur peut être valide car la plupart des serveurs de messagerie acceptent le courrier pour tout utilisateur local. Divers programmes peuvent inclure votre nom d'utilisateur par défaut dans le trafic sortant lorsqu'ils se connectent aux serveurs. Les nouveaux formulaires d'inscription d'utilisateur ou les formulaires de récupération de mot de passe peuvent permettre à un attaquant de vérifier si un nom d'utilisateur est pris.
Les noms d'utilisateur sont souvent plus difficiles à modifier que les mots de passe.
Ainsi, lorsque vous ajoutez une complexité supplémentaire à vos informations de connexion, il est préférable de prendre l'habitude de mettre cette complexité supplémentaire dans le mot de passe plutôt que dans le nom d'utilisateur.
Non. Un nom d'utilisateur est pas censé être gardé secret et ne le sera donc pas. Un nom d'utilisateur est un identifiant public. S'y fier pour la sécurité n'est pas intelligent.
Cela a un petit impact positif, mais vous ne pouvez pas vous y fier. Et ce petit impact ne vaut pas d'avoir un nom d'utilisateur complexe. Les systèmes ne sont pas conçus pour garder les noms d'utilisateurs secrets, donc les garder secrets sera trop difficile.
Il s'agit d'obscurité et non de sécurité.
Il y a un point que je trouve utile non mentionné par les autres réponses jusqu'à présent. Garder vos noms d'utilisateur aléatoires et différents entre les différents sites rend plus difficile pour un étranger de connecter vos activités entre différents sites. Au lieu de rechercher votre nom d'utilisateur sur Google, quelqu'un qui souhaite suivre vos activités devra utiliser d'autres moyens, comme le suivi des adresses IP que vous utilisez, pour corréler vos activités entre différents sites qui ont des noms d'utilisateur publics, ce qui rend, disons, le harcèlement plus difficile.
Oui, l'augmentation de la complexité d'un nom d'utilisateur améliorera la sécurité globale. C'est la combinaison du nom d'utilisateur et du mot de passe qui compte d'un point de vue de la sécurité, donc tout ce que vous faites pour rendre cette combinaison plus difficile à deviner, vous aidera.
Certains services donneront une rétroaction positive pour un nom d'utilisateur correctement deviné, même si le mot de passe échoue. Avoir un nom d'utilisateur confirmé est une information supplémentaire qu'un pirate ne devrait pas avoir.
Oui, il y a un ajout important à la sécurité dans le cas que vous décrivez. En fait, de nombreux systèmes désactivent les connexions pour les comptes avec des noms connus, comme root
ou guest
exactement pour cette raison: l'attaquant devra acquérir un nom d'utilisateur valide avant de lancer l'attaque réelle.
Bien sûr, il existe d'autres raisons de désactiver la connexion root
en particulier, mais un nom d'utilisateur prévisible fait partie du problème.
Comme toutes les techniques de sécurité par l'obscurité, cela ajouterait une certaine sécurité mais n'est pas une sécurité fiable.
Si cela n'a pas de coûts supplémentaires et n'a pas d'impact sur le bizness, c'est un petit ajout sympa qui pourrait coûter du temps aux attaquants mais qui n'empêchera rien de manière fiable.
Une analogie serait de construire une maison au milieu d'un désert - c'est difficile à trouver. Mais vous voulez toujours que la maison soit protégée.