Creación de políticas de nombre de usuario y mejores prácticas

Mi opinión: si su seguridad está bien diseñada, no necesita una política sobre los nombres de usuario. No es necesario que intentes evitar que los atacantes adivinen los nombres de usuario si has hecho el resto de tu seguridad correctamente, porque a los malos no les servirá de nada el poder adivinar los nombres de usuario si no pueden (por ejemplo, ) Adivina la contraseña correspondiente.

Es posible que desee establecer algunos límites sobre los nombres de usuario que sus usuarios pueden elegir, para asegurarse de que un usuario aleatorio no cree un nombre de usuario que implique algún puesto oficial en su empresa. Por ejemplo, es posible que desee evitar que los usuarios normales seleccionen un nombre de usuario como root o admin o abuse o webmaster o spam o help , solo para evitar que otros usuarios confundan.

He incluido un par de fuentes, pero vamos a discutir los problemas.

Los nombres de usuario no deben ser una protección para la autenticación. La autenticación es independiente de la identificación. La identificación es un dato que describe a un individuo o grupo. La mayoría de las veces, un nombre de usuario es una secuencia de caracteres que identifica de manera única a una persona. Normalmente, una persona se autentica con una contraseña. Puedo afirmar que soy Margret Thatcher, pero si no puedo ingresar la contraseña de Margret Thatcher, entonces no puedo autenticarme como Margret Thatcher.

Aparte de eso, puede haber algunos problemas de seguridad con los nombres de usuario.

Nombres de usuario que pueden causar un comportamiento no deseado en el sistema de autenticación.

• Nombres de usuario excesivos y largos: este nombre de usuario se usó para indicar el nombre de la fuente de información sobre el flujo de datos
• Nombres de usuario con caracteres inusuales o de control: proc␀ess␠thisäifÄuÜc'aÖn; ü

Los nombres de usuario indentados para causar confusión

• Solicitud de administrador
• no válido
• válido
• error
• MOTD
• usuario autenticado
• inicio de sesión:
• contraseña:
• raíz / \

Universidad de Australia del Sur

1.4 El nombre de usuario debe ser único y sin cambios para una persona Normalmente, cada persona debe tener un nombre de usuario único que pueda mantener durante toda su vida en la Universidad. Los nombres de usuario del personal se distinguen de los nombres de usuario de los estudiantes. A medida que el personal se mueve entre diferentes centros de costos, su nombre de usuario no debe cambiar, pero los permisos asociados deben reflejar el acceso apropiado para su nuevo rol.

1.5 El personal que también son estudiantes tendrá dos nombres de usuario Los nombres de usuario del personal son distintos de los nombres de usuario de los estudiantes. Es necesario poder proporcionar diferentes permisos según el rol de una persona como personal o estudiante. El personal que también es estudiante recibirá un par de nombre de usuario / contraseña y un par de nombre de usuario / contraseña. Esto permite que el personal asuma el rol de un estudiante cuando no está trabajando en su posición normal de personal.

enlace

Política de nombre de usuario de YouTube

Don't namesquat: los nombres de usuario de YouTube tienen una gran demanda. Como regla general, se espera que los usuarios sean miembros activos dentro de la comunidad de YouTube.

enlace

Hay una buena discusión sobre la política y las prácticas de los nombres de usuarios aquí: Si los nombres de usuarios se mantienen en secreto ?

Estoy de acuerdo con @ D-w y @ this-josh en que los nombres de usuario son para la identificación y no para la autenticación, por lo tanto, es sensato priorizar la conveniencia del usuario. Es mucho más probable que un usuario recuerde un nombre de usuario que sea su dirección de correo electrónico o número de teléfono móvil que un número aleatorio o una combinación de letras. También satisfacen la propiedad de ser únicos, aunque esto también se puede abordar mediante un identificador privado (por ejemplo, GUID) en su base de datos y un identificador público que es su nombre de usuario.

Sin embargo, se deben tener en cuenta algunos riesgos, dependiendo de su modelo de amenaza en nombres de usuario simples, como la dirección de correo electrónico o el número de teléfono que son información pública efectiva:

• Denegación de servicio: si los nombres de usuario se pueden enumerar o adivinar fácilmente y usted tiene una política de bloqueo de cuenta, esto puede resultar en un ataque de denegación de servicio

• Fuga de información: la dirección de correo electrónico o el número de teléfono pueden considerarse información de identificación personal, especialmente junto con otra información. Es posible que sus usuarios o reguladores no acepten que esta información no esté protegida

• Ataques de contraseña: si el nombre de usuario es fácil de adivinar, es un dato menos que requiere un atacante. Podría decirse que si usa el nombre de usuario y la longitud de la contraseña y la complejidad para calcular su fuerza / entropía de autenticación general, tener un nombre de usuario simple requiere que tenga una contraseña mucho más larga para lograr el mismo valor.

• Reutilización de la contraseña: los usuarios pueden reutilizar su dirección de correo electrónico como nombre de usuario y una contraseña común en muchos servicios. Si uno de estos se ve comprometido, el atacante puede comprometer a los otros más rápido que si el sistema tuviera un nombre de usuario diferente.

Si estos riesgos son demasiado altos para aceptarlos, entonces podría decirse que la mejor política de nombre de usuario es la misma que su política de contraseña.