web-dev-qa-db-fra.com

La longueur / complexité / caractère unique du nom d'utilisateur a-t-elle un impact positif sur la sécurité?

Un nom d'utilisateur plus long/plus complexe est-il considéré comme plus sûr que d'utiliser un nom d'utilisateur plus court/basique? L'unicité d'un nom d'utilisateur aurait-elle un impact positif sur la sécurité?

Cela suppose que les adversaires ne sont pas conscients de ce que le nom d'utilisateur peut être, par exemple. une connexion au terminal distant.

30
user389823

Un nom d'utilisateur plus difficile à deviner ajoute à la sécurité if il est gardé secret.

Les problèmes sont

  1. Les noms d'utilisateur ne sont souvent pas gardés particulièrement secrets. Sur la plupart des systèmes permettant à plusieurs utilisateurs de se connecter, tout utilisateur peut afficher la liste des utilisateurs valides. Sur les systèmes qui exécutent des serveurs de messagerie, le serveur de messagerie peut effectivement être utilisé pour vérifier si un nom d'utilisateur peut être valide car la plupart des serveurs de messagerie acceptent le courrier pour tout utilisateur local. Divers programmes peuvent inclure votre nom d'utilisateur par défaut dans le trafic sortant lorsqu'ils se connectent aux serveurs. Les nouveaux formulaires d'inscription d'utilisateur ou les formulaires de récupération de mot de passe peuvent permettre à un attaquant de vérifier si un nom d'utilisateur est pris.

  2. Les noms d'utilisateur sont souvent plus difficiles à modifier que les mots de passe.

Ainsi, lorsque vous ajoutez une complexité supplémentaire à vos informations de connexion, il est préférable de prendre l'habitude de mettre cette complexité supplémentaire dans le mot de passe plutôt que dans le nom d'utilisateur.

70
Peter Green

Non. Un nom d'utilisateur est pas censé être gardé secret et ne le sera donc pas. Un nom d'utilisateur est un identifiant public. S'y fier pour la sécurité n'est pas intelligent.

33
d1str0

Cela a un petit impact positif, mais vous ne pouvez pas vous y fier. Et ce petit impact ne vaut pas d'avoir un nom d'utilisateur complexe. Les systèmes ne sont pas conçus pour garder les noms d'utilisateurs secrets, donc les garder secrets sera trop difficile.

Il s'agit d'obscurité et non de sécurité.

4
ferit

Il y a un point que je trouve utile non mentionné par les autres réponses jusqu'à présent. Garder vos noms d'utilisateur aléatoires et différents entre les différents sites rend plus difficile pour un étranger de connecter vos activités entre différents sites. Au lieu de rechercher votre nom d'utilisateur sur Google, quelqu'un qui souhaite suivre vos activités devra utiliser d'autres moyens, comme le suivi des adresses IP que vous utilisez, pour corréler vos activités entre différents sites qui ont des noms d'utilisateur publics, ce qui rend, disons, le harcèlement plus difficile.

1
liori

Oui, l'augmentation de la complexité d'un nom d'utilisateur améliorera la sécurité globale. C'est la combinaison du nom d'utilisateur et du mot de passe qui compte d'un point de vue de la sécurité, donc tout ce que vous faites pour rendre cette combinaison plus difficile à deviner, vous aidera.

Certains services donneront une rétroaction positive pour un nom d'utilisateur correctement deviné, même si le mot de passe échoue. Avoir un nom d'utilisateur confirmé est une information supplémentaire qu'un pirate ne devrait pas avoir.

1
user1751825

Oui, il y a un ajout important à la sécurité dans le cas que vous décrivez. En fait, de nombreux systèmes désactivent les connexions pour les comptes avec des noms connus, comme root ou guest exactement pour cette raison: l'attaquant devra acquérir un nom d'utilisateur valide avant de lancer l'attaque réelle.

Bien sûr, il existe d'autres raisons de désactiver la connexion root en particulier, mais un nom d'utilisateur prévisible fait partie du problème.

1
Dmitry Grigoryev

Comme toutes les techniques de sécurité par l'obscurité, cela ajouterait une certaine sécurité mais n'est pas une sécurité fiable.

Si cela n'a pas de coûts supplémentaires et n'a pas d'impact sur le bizness, c'est un petit ajout sympa qui pourrait coûter du temps aux attaquants mais qui n'empêchera rien de manière fiable.

Une analogie serait de construire une maison au milieu d'un désert - c'est difficile à trouver. Mais vous voulez toujours que la maison soit protégée.

1
niilzon