Наш менеджер по безопасности настаивает на том, что мы должны использовать анонимизированные имена пользователей. Например, для пользователя по имени John Doe его имя пользователя будет «g74h19», а не что-то вроде «jdoe».
У нас уже есть политика, которая блокирует учетную запись после трех неправильных попыток входа. Так что, за исключением, могут быть усложнения DOS-атаки, я не вижу, как это поможет безопасности — даже хуже, вы больше не сможете видеть, кто есть кто в журналах. Существуют ли какие-либо рекомендации по безопасности, поддерживающие анонимные имена пользователей? Кто-нибудь использует их?
Ответ 1
Я собираюсь подойти к этому с точки зрения домена Windows. Если я злоумышленник, мне все равно, какие имена пользователей. Я просто хочу их получить. Поэтому я буду искать систему, в которой нет RestrictAnonymous, или систему Windows, и буду сканировать все имена пользователей в домене. Или я получу одну действительную учетную запись пользователя в домене, а затем произведу сканирование. Теперь у меня есть ВСЕ учетные записи пользователей для проверки.
И еще я могу сканировать группы. Так что я буду искать действительно ценные группы, такие как администраторы домена или администраторы предприятия, или группы, которые выглядят особенно интересными. И я посмотрю, кто является членами данной группы, и буду искать их.
Поэтому, хотя анонимизация имен пользователей может показаться полезной, я не думаю, что она сильно повышает безопасность. Кроме того, они усложняют работу конечных пользователей, сотрудников службы поддержки и администраторов при устранении проблем конкретного набора пользователей.
Ответ 2
Анонимизированные имена пользователей — еще один пример безопасности за счет неизвестности. Анонимизация имени пользователя затрудняет злоумышленнику угадать его, например, по адресу электронной почты. Exchange, например, часто использует имя пользователя как часть адреса электронной почты. Как вы заявили, у вас действует политика блокировки, значит, у вас уже есть некоторые методы защиты, и анонимизация повышает вероятность взлома лимита с помощью грубой силы. Вам следует подумать о том, что если пользователь случайно сообщит свой пароль? В случае, если имя пользователя не анонимизировано, у злоумышленника есть пароль, и он, скорее всего, сможет угадать имя пользователя по его электронной почте менее чем за 3 попытки. Если имя пользователя анонимизировано, вероятность этого гораздо ниже. Таким образом, определенная польза от их наличия есть, но все зависит от того, перевешивает ли эта ограниченная польза удобство простых имен пользователей. Какой уровень безопасности достаточен для вашей организации?
Ответ 3
Безопасность и удобство использования должны быть постоянно сбалансированы друг с другом. Это повысит безопасность против атаки грубой силы или угадывания имени пользователя, но значительно усложнит жизнь пользователям. Пользователь теперь должен помнить 2 части (для него) случайной информации, чтобы иметь возможность войти в систему и выполнять свои рабочие функции. Это риск для бизнеса, так как пользователи с большей вероятностью будут записывать свои имена пользователей (а если они их записывают, то это очень короткий скачок к записи пароля) или забывать свои имена пользователей, что приведет к потере производительности.
Я не считаю, что стоит рандомизировать имена пользователей. Они отображаются открытым текстом на экране, поэтому в любом случае очень уязвимы. Кроме того, они будут вызывать ненужные огорчения у пользователей. И самое главное, они поощряют пользователей практиковать плохие привычки безопасности.
Ответ 4
Работая в .EDU, мы столкнулись с этой проблемой, но не по соображениям безопасности. Как и многие другие, мы основываем наши имена пользователей (все еще использующие 8-символьные ограничения из-за наличия старых серверов Solaris в среде наших пользователей) на реальном имени в момент регистрации. Поскольку у нас от 19 000 до 23 000 активных студентов в любой момент времени, это делается по алгоритму, поэтому угадать имя пользователя по его настоящему имени не так уж сложно. В зависимости от того, как вы читаете правила (FERPA), это может считаться «службой каталогов», от которой они имеют право отказаться. В этом и заключается проблема. Если регистрируется пользователь с довольно уникальным именем, например, Фархид Закария, то в процессе создания учетной записи ему будет присвоено имя пользователя. В данном случае это будет «zakarif». Легко угадать. Если вы считаете это каталогом и они откажутся, то нам придется изменить имя пользователя. Изменение имени пользователя — сложный процесс, и он не автоматизирован. Когда студенты женятся и меняют фамилию, мы не меняем их имя пользователя. У нас есть сотрудники, которые женились в начале 90-х годов, и у них до сих пор есть имена пользователей со старыми фамилиями.
Итак, подумаем, что если при создании учетной записи назначать пользователям менее легко выводимые имена? В университете, который я закончил, вышеуказанное имя было бы «zaka0008»; первые четыре буквы фамилии и цифра для уникальности. Такое имя не так легко вывести из фамилии, но оно все же содержит некоторые идентификаторы, которые помогут пользователям запомнить его. Это позволит нам избежать переименования учетных записей.
Мы еще не сделали этого, так как у нас нет твердого решения о применимости FERPA к этой ситуации. Но это реальный пример перехода к менее очевидным именам пользователей.
Ответ 5
Они также могут быть полезны для маскировки данных между сотрудниками. Люди, составляющие отчеты для расчета заработной платы и т. д., не видят, кто сколько зарабатывает. В других ситуациях, если руководство решает вопрос об увольнении, а данные о производительности сотрудников представлены с анонимными именами пользователей, их нельзя обвинить в выборе. Такие случайные вещи. Это имеет большее значение для больших организаций, где использование частей имен и фамилий приведет к большому количеству совпадений. Засекречивание имен пользователей также немного усложняет выяснение того, какие учетные записи пользователей нужно пытаться взломать. При стандартной схеме все будут знать имена CEO/CIO/CFO/Director. Гораздо сложнее выяснить, какой номер сотрудника они имеют.
Security