¿Existe algún beneficio de seguridad adicional para los requisitos de complejidad del nombre de usuario?

9

Últimamente me he topado con varios sitios que tienen requisitos de complejidad para nombres de usuarios , como que "debe tener 8 caracteres y contener al menos 2 números". ¿Hay algún beneficio agregado real para esto desde un punto de vista de seguridad?

Pienso que dado que un nombre de usuario está diseñado para ser un identificador y no un secreto, es una política innecesaria y molesta. Me molesta particularmente porque se presenta como un requisito de "seguridad" que proporciona solo la ilusión de seguridad a expensas de la comodidad.

    
pregunta pdubs 26.08.2011 - 23:05
fuente

5 respuestas

6

No puedo pensar en un beneficio de seguridad tangible, aparte de posiblemente ser un poco más difícil enumerar los nombres de usuario. Cierta práctica de la seguridad a través de la oscuridad, creo que tendría la desventaja de que los usuarios tengan que escribir su nombre de usuario para recordarlo, y tal vez anular el propósito de un nombre de usuario complejo.

Por otro lado, no estoy seguro de cuán frecuente es usar keystores como KeePass; hace que recordar el nombre de usuario sea irrelevante.

    
respondido por el M15K 27.08.2011 - 02:17
fuente
3

El razonamiento detrás del requisito podría ser disuadir a los usuarios de reutilizar un nombre de usuario y contraseña de otro sistema.

    
respondido por el securityishard 26.08.2011 - 23:55
fuente
2

Mi apuesta es que este requisito es reducir la tasa de colisiones de nombre de usuario, ya que dichas colisiones pueden activar el soporte del usuario (el usuario intenta su nombre, pero el nombre ya está en uso, el usuario no entiende y llama / llama al webmaster). Entonces, este requisito se llama un requisito de seguridad para que los usuarios lo traguen.

    
respondido por el Thomas Pornin 27.08.2011 - 15:41
fuente
0

Sí, hay una seguridad adicional con estos requisitos, aquí hay un escenario que lo ayudará a aclararse (idealmente).

Escenario
Bob Jones es el CEO de AwesomeCo. Decide hacer su nombre de usuario bobJones (o cualquier otra enumeración de esto que no implique números, es decir, bob.jones, bJones, etc.). Alguien que hace su tarea descubre que esta es una empresa que está involucrada con desastres ambientales y quiere vengarse. Su nombre de usuario es fácil de adivinar, lo que disminuye la complejidad requerida para acceder a su información.

Ahora, por lo general, los requisitos de seguridad de los nombres de usuario son que no pueden contener su nombre, apellido o segundo nombre. Ahora, junto con las contraseñas, el requisito generalmente es que no puede usar su SID (nombre de usuario), nombre, apellido o segundo nombre. En teoría, esto debería hacer que sea más difícil para un sistema descifrar su combinación de usuario / contraseña, ya que deberían ser mutuamente excluyentes hasta cierto punto.

    
respondido por el Woot4Moo 27.08.2011 - 16:46
fuente
0

Posiblemente el requisito de complejidad del nombre de usuario podría ser parte de una mitigación de DOS.

No es necesario que conozca la contraseña para bloquear a un usuario; solo necesitas el nombre de usuario Simplemente intente iniciar sesión cinco veces con el nombre de usuario y la contraseña incorrecta, y listo, el usuario está bloqueado. Haga esto por mil usuarios y ha creado un atraso grave en el centro de llamadas del sitio.

    
respondido por el John Wu 12.11.2013 - 23:04
fuente

Lea otras preguntas en las etiquetas