¿Un número aleatorio después del nombre de inicio de sesión en la sección de miembros públicos de un sitio web aumenta la seguridad o la privacidad?

Navega tus respuestas
1

enlace

vs

enlace

donde el nombre de usuario es específico para cada usuario, como lo es su sal.

Mi hipótesis es que hace que sea más difícil para los spammers recopilar información sobre alguien al no dar una respuesta directa a la pregunta: ¿conoce al usuario $ login?

Si tuviera 20 millones de direcciones de correo electrónico que quería enviar correo no deseado, sin duda intentaría establecer un perfil para cada usuario, por ejemplo, tratando de encontrar sus intereses. Con una lista de foros, solo buscaría y analizaría una página en cada sección de miembros de los foros, pero con la sal en la URL, tendría que hacer una copia completa y actualizarla regularmente. Entonces, qué piensas ? ¿Se hace para aumentar el costo de la recopilación de datos o es otra cosa?

    
pregunta alecail 22.01.2015 - 22:09
fuente

2 respuestas

3

Si se pregunta por qué se hace esto en la práctica, generalmente (que yo sepa) no tiene nada que ver con la seguridad de la información. Con el software del foro que conozco, el nombre de usuario es realmente superfluo desde el punto de vista del servidor; el número es el número de ID de miembro y es todo lo que el servidor mira. El nombre de usuario está justo allí para que la URL sea más descriptiva; es estrictamente opcional, y puede ser lo que quieras, pero de manera predeterminada, aclara lo que señala la URL. Puede ver un ejemplo en Stack Exchange: su perfil de usuario es enlace pero enlace o enlace te lleva a la misma página.

Pregunta relacionada sobre SO: enlace

    
respondido por el cpast 23.01.2015 - 01:18
fuente
0

Existe es un mérito de seguridad para tener entropía en los nombres de usuario, aunque como la respuesta de cpast señala que, por lo general, no es una razón principal.

Supongamos que Bob tiene el nombre de usuario bobertack en forum.example.com y que un atacante conoce su nombre de usuario y contraseña. Eso es malo, pero al menos es solo un foro. Sin embargo, el atacante podría realizar un ataque de reutilización de contraseña , por ejemplo. probando la misma contraseña para bobertack en blog.example.net; Si Bob es como muchas otras personas, existe una gran posibilidad de que use la misma contraseña para ambos.

Con un nombre de usuario diferente, Bob habría sido menos vulnerable a este tipo de ataque. Es por esta razón que algunas personas (yo incluido) consideran que los nombres de usuario de sus cuentas bancarias son esencialmente contraseñas por derecho propio.

Un ejemplo de un ataque de reutilización de contraseña:

La pregunta en sí misma supone un ataque casi revertido de reutilización de contraseña, en el cual un spammer puede encontrar conexiones entre las cuentas de una persona y usarlo para dirigirse mejor a la persona. Los anunciantes (tanto good como evil ) hacen esto todos los días; Esto se llama publicidad dirigida y sus ramificaciones son en sí bastante interesantes.

Para obtener más información sobre cómo la privacidad está conectada a la seguridad, mire a Mikko Hypponen (Director de investigación de Sophos) y haga una presentación sobre privacidad y seguridad en el que señala que los mejores científicos del mundo están centrando su tiempo en entregar anuncios dirigidos en lugar de resolver los problemas del mundo.

    
respondido por el Adam Katz 31.05.2015 - 00:30
fuente

Lea otras preguntas en las etiquetas

¿Se trata de una ingeniería social en Facebook? ¿Alguna razón por la que no debería estar usando sal y hash antes de pasar bCrypt?