Así que he notado una tendencia reciente (e irritante) de requerir que los nombres de los usuarios tengan números en ellos. ¿Hay realmente algún valor de seguridad para esto?
Aparte del hecho de que los nombres de usuario no son reemplazos de contraseñas, porque a menudo son públicos (o al menos menos seguros):
No, obligar a un usuario a tener un número en la entrada en realidad disminuye el número de posibilidades, por lo que es menos seguro contra las adivinanzas.
Como pequeño ejemplo, tengamos una contraseña de longitud 4, donde cada carácter puede ser uno de los 70 posibles (26 mayúsculas, 26 minúsculas, 10 dígitos y algunos signos como.,?! etc.). Eso es 70 ^ 4 = 24010000 posibilidades.
Si uno de estos 4 caracteres debe ser un dígito, hay 70 ^ 3 * 10 * 4 = 13720000 posibilidades (el 4 se debe a que el dígito puede ser cualquiera de las 4 posiciones).
Así que sin dígitos, hay aproximadamente dos veces más posibilidades aquí.
Por supuesto, esto puede generalizarse para cualquier conjunto de caracteres posibles (siempre que sea significativamente más que los 10 dígitos solos) y cualquier longitud de contraseña.
Y sí, el hecho de que los humanos no sean generadores aleatorios perfectos no se encuentra aquí. Forzar un dígito podría impedir que algunas personas lo usen, por ejemplo. su propio nombre Por otro lado, otras personas usarán su nombre con 1 agregado. No obstante, algunas personas realmente usan buenos RNG (administradores de contraseñas, etc., etc.) y, como se muestra, el dígito permite menos valores posibles.
También he notado esto. Muchas veces desde la banca & Instituciones de tarjetas de crédito.
La razón por la que creo que hacen cumplir esto es para
Para mí, esto realmente no lo hace inherentemente más seguro . Más aún es un caso de ofuscación. Como todos sabemos, la oscuridad no es igual de seguridad.
Por el contrario, recomiendo tener los nombres de usuario únicos para cada servicio en línea tanto como sea posible y, por supuesto, largo y fuerte contraseñas únicas para cada una también.
Podría ser de algún valor para los bots que intentan combinaciones comunes de nombre de usuario y contraseña al garantizar que los usuarios elijan nombres de usuarios que no son comunes. Además, algunos sitios web responden de manera diferente en caso de que un usuario exista o no (por ejemplo, dirá que la contraseña es incorrecta o que el usuario no existe) y los scripts intentan buscar nombres de usuario comunes para luego forzar sus contraseñas. Si haces que adivinar los nombres de usuario sea más difícil, al menos ganarás algo.
Quiero decir ... para lanzar un ataque "tonto" contra algún sitio web, debes adivinar el nombre de usuario y la contraseña correctamente. En este caso, lo haría más difícil al exigir que los usuarios tengan nombres de usuario complicados. Por supuesto, no ayuda contra los escenarios de ataque donde el atacante ya conoce su nombre de usuario.
Lea otras preguntas en las etiquetas user-names