¿Se considera más seguro tener un nombre de usuario más largo / más complejo que usar uno más corto / básico? ¿La singularidad de un nombre de usuario impactaría positivamente la seguridad?
Esto es asumiendo que los adversarios no son conscientes de lo que puede ser el nombre de usuario, por ejemplo. un terminal de inicio de sesión remoto.
Un nombre de usuario más difícil de adivinar se agrega a la seguridad si se mantiene en secreto.
Los problemas son
Los nombres de usuario a menudo no se mantienen especialmente secretos. En la mayoría de los sistemas que permiten que múltiples usuarios inicien sesión, cualquier usuario puede ver la lista de usuarios válidos. En los sistemas que ejecutan servidores de correo, el servidor de correo puede usarse efectivamente para verificar si un nombre de usuario puede ser válido, ya que la mayoría de los servidores de correo aceptarán el correo de cualquier usuario local. Varios programas pueden incluir su nombre de usuario por defecto en el tráfico saliente cuando se conectan a los servidores. Los nuevos formularios de registro de usuario o los formularios de recuperación de contraseña pueden permitir que un atacante compruebe si se toma un nombre de usuario.
Los nombres de usuario a menudo son más difíciles de cambiar que las contraseñas.
Entonces, al agregar complejidad adicional a sus credenciales de inicio de sesión, es mejor adquirir el hábito de poner esa complejidad adicional en la contraseña en lugar del nombre de usuario.
Tiene un pequeño impacto positivo, pero no puedes confiar en él. Y este pequeño impacto no vale la pena por tener un nombre de usuario complejo. Los sistemas no están diseñados para mantener los nombres de usuario en secreto, por lo que mantenerlos en secreto será demasiado difícil.
Se trata de la oscuridad, no de la seguridad.
Sí, aumentar la complejidad de un nombre de usuario mejorará la seguridad en general. Es la combinación de nombre de usuario y contraseña lo que importa desde el punto de vista de la seguridad, por lo que cualquier cosa que hagas para hacer que esa combinación sea más difícil de adivinar, ayudará.
Algunos servicios darán una respuesta afirmativa para un nombre de usuario correctamente adivinado, incluso si la contraseña falla. Tener un nombre de usuario confirmado es un bit de información adicional que un hacker no debería tener.
Sí, hay una adición significativa a la seguridad en el caso que describe. De hecho, muchos sistemas inhabilitan los inicios de sesión para cuentas con nombres conocidos, como root o guest exactamente por este motivo: el atacante tendrá que adquirir un nombre de usuario válido antes de iniciar el ataque real.
Por supuesto, hay otras razones para deshabilitar root login en particular, pero un nombre de usuario predecible es parte del problema.
Al igual que todas las técnicas de seguridad a través de la oscuridad, esto agregaría algo de seguridad pero no es una seguridad confiable.
Si hacer esto no tiene costos adicionales y no afecta el bizness, es una pequeña adición que podría costarle algo de tiempo a los atacantes pero que no evitará nada de manera confiable.
Una analogía sería construir una casa en medio de un desierto: es difícil de encontrar. Pero todavía quieres que la casa esté protegida.
Hay un punto que encuentro útil que no he mencionado en otras respuestas hasta ahora. Mantener sus nombres de usuario aleatorios y diferentes entre sitios diferentes hace que sea más difícil para un extraño conectar sus actividades entre varios sitios. En lugar de buscar su nombre de usuario en Google, alguien que desee realizar un seguimiento de sus actividades tendrá que utilizar otros medios, como el seguimiento de las direcciones IP que utiliza, para correlacionar sus actividades entre diferentes sitios que tienen nombres de usuarios públicos, lo que hace que, por ejemplo, el acoso, sea más difícil. / p>
Lea otras preguntas en las etiquetas authentication password-policy obscurity user-names