Création de stratégies de nom d'utilisateur et de meilleures pratiques
J'ai trouvé une tonne d'informations sur la politique de mot de passe sur Internet et plusieurs vérifictions de pratiques optimales. Cependant, d'un point de vue de nom d'utilisateur, je ne pouvais pas trouver beaucoup. Je pensais qu'il serait vraiment utile d'avoir quelque chose comme ceci pour empêcher les pêcheurs de construire des dictionnaires ou une énumération de nom d'utilisateur ainsi que d'autres étapes préventives où le nom d'utilisateur peut être utilisé par un attaquant.
Quelqu'un pourrait-il me lier à certains documents et informations pertinents?
Il y a une bonne discussion sur la politique et les pratiques des noms d'utilisateurs ici: Les noms d'utilisateur doivent-ils être gardés secrets?
Je suis d'accord avec @ d-w et @ this-josh dans ce nom d'utilisateur pour identifier non l'authentification, la priorisation de la priorité à la commodité de l'utilisateur semble sensible. Un utilisateur est beaucoup plus susceptible de se souvenir d'un nom d'utilisateur qui est leur adresse e-mail ou leur numéro de téléphone portable qu'un nombre aléatoire ou une combinaison de lettres. Ils répondent également à la propriété d'être unique, bien que cela puisse également être adressé via un identifiant privé (GUID E.G. GUID) dans votre base de données et un identifiant public qui est leur nom d'utilisateur.
Certains risques à garder à l'esprit bien en fonction de votre modèle de menace sur des noms d'utilisateur simples tels que l'adresse e-mail ou le numéro de téléphone qui sont efficacement des informations publiques:
Déni de service - Si les noms d'utilisateur peuvent être facilement énumérées ou devinés et que vous avez une politique de verrouillage de compte, cela peut entraîner une attaque de service
Fuite d'informations - L'adresse e-mail ou le numéro de téléphone pourraient être considérées comme des informations personnellement identifiables, notamment conjointement avec d'autres informations. Vos utilisateurs ou régulateurs peuvent ne pas accepter ces informations non protégées
Attaques de mot de passe - Si le nom d'utilisateur est facilement devinable, il s'agit d'une information de moins d'informations qu'un attaquant nécessite. Sans doute si vous utilisez à la fois la longueur d'utilisateur et le mot de passe et la complexité dans le calcul de votre entropie d'authentification globale/votre puissance, le nom d'utilisateur simple nécessite que vous ayez un mot de passe beaucoup plus long pour atteindre la même valeur
Mot de passe Réutiliser - Les utilisateurs peuvent réutiliser leur adresse électronique comme nom d'utilisateur et un mot de passe commun sur de nombreux services. Si l'un d'entre eux est compromis, l'attaquant peut compromettre les autres plus rapidement que si le système avait un nom d'utilisateur différent.
Si ces risques sont trop élevés pour accepter, la meilleure stratégie de nom d'utilisateur est également la même que celle de votre police de mot de passe.