שאלה האם דרושים שמות משתמש אנונימיים?


מנהל האבטחה שלנו מתעקש שאנחנו צריכים להשתמש שמות משתמשים אנונימיים.

למשל עבור משתמש בשם פלוני אלמוני שם המשתמש שלו יהיה 'g74h19'במקום משהו כמו'jdoe'.

כבר יש לנו מדיניות שתנעל חשבון לאחר שלושה ניסיונות כניסה לא חוקיים. אז אולי רק כדי לבצע התקפת DOS קשה יותר אני לא יכול לראות איך זה יעזור אבטחה - אפילו יותר גרוע אתה כבר לא יוכל לראות מי הוא ביומנים.

האם יש המלצות אבטחה שתומכות בשמות משתמש אנונימיים? (קישור)

האם מישהו כאן משתמש בהם?


7
2018-05-27 13:28






תשובות:


אני הולך גישה זו מנקודת מבט של Windows. אם אני תוקף, לא אכפת לי מה שמות המשתמשים. אני פשוט רוצה אותם. אז אני הולך לחפש מערכת שאין לה RestrictAnonymous, או מערכת Windows 2000, ואני הולך לסרוק את כל שמות המשתמש בתחום. או שאני מרוויח חשבון משתמש חוקי אחד על הדומיין ולאחר מכן הוציא את הסריקות הנ"ל. עכשיו יש לי את כל חשבונות משתמש כדי לנסות.

הו ואני יכולים לסרוק גם קבוצות. אז אני יחפש את אלה באמת נחמד כמו מנהלי תחום או Enterprise Admins או קבוצות אשר נראה מעניין במיוחד. ואני אראה מי הם חברי הקבוצה המדוברת ונראה ללכת אחריהם.

לכן, בעוד שמות משתמשים אנונימיים עשויים להיראות מועילים, אני לא חושב שהם עושים הרבה כדי להגדיל את האבטחה. והם מקשים על משתמשי הקצה, צוות התמיכה ומנהלי המערכת בעת פתרון בעיות של קבוצה מסוימת של בעיות.


16
2018-05-27 13:37



1+ להסביר את הווקטור גרזן כי היה לשלול את השימוש של עזרים anon עבור הקישור בחזרה המשתמש שבו האבטחה טובה מתחיל כמו בעיה הסיסמה המורכבת - משתמשים ימינה אותם ברוס שנייר guardian.co.uk/technology/2008/nov/13/internet-passwords
+1 עבור ביצוע נקודה טובה לגבי וקטור התקפה ספירה. כמובן זה מניח את התוקף הוא בפנים או יש גישה לשירות רשימת המשתמש. אנונימיזציה מסייעת נגד גילוי מקרי. קלאסי הוא עובר את אתר האינטרנט כדי למצוא אימיילים העמים. אם הדוא"ל של ג 'ון הוא jdoe@company.com ואת שם המשתמש שלו הוא jdoe התוקף רק צבר ידע נוסף על המבצע ממה שרצית אותו. - Pierre-Luc Simard
יפה אמרת. החריג היחיד שאני עושה לכלל זה הוא שינוי שם של מנהל המערכת, מאותה סיבה שאני מעביר SSH ליציאה לא סטנדרטית. זה שכבה קטנה מאוד של אלמוניות, כי לא יעשה דבר כדי לעצור את התוקף נחוש, אבל עושה את זה קשה יותר עבור scripter חסר טעם לפטיש משם על המערכת שלי. - sh-beta
נכון, שינוי שם מנהל הגיוני. כי ככה אתה יכול להשתמש IDS / IPS להתריע על מנהל הרבה יותר מהר ממה שאתה מושך יומני אירועים. - K. Brian Kelley
דבר אחד להוסיף תשובה מצוינת זו היא דיון של זהות לעומת אימות ((ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית) technet.microsoft.com/en-us/library/cc512578.aspx, קישור המומלץ על ידי ברוס שנייר schneier.com/blog/archives/2009/01/identity_authen.html. הזהות היא פומבית ביסודה, ונראה כי הניסיון לטשטש זהות ציבורית נושא בעלות גבוהה יותר מכל תועלת. - pcapademic


שמות משתמשים אנונימיים הם דוגמה נוספת לביטחון על ידי חשש. על ידי anonymising את שם המשתמש זה עושה את זה קשה עבור התוקף יהיה לנחש את זה, מ אומר כתובת דוא"ל. Exchange למשל משתמש לעתים קרובות בשם המשתמש של המשתמש כחלק מכתובת הדוא"ל.

כפי שציינת יש לך מדיניות נעילה בתוקף אז כבר יש לך איזו שיטה של ​​אבטחה במקום ולכן אנונימינג יגרום לו יותר סיכוי להכות את הגבול עם התקפה כוח פראי. דבר אחד שאתה צריך לשקול הוא, מה אם המשתמש בשוגג נותן את הסיסמה שלהם? במקרה שבו יש שמות משתמשים לא אנונימיים, התוקף יש את הסיסמא והוא צפוי להיות מסוגל לנחש את שם המשתמש מתוך הדוא"ל שלהם תחת 3 ניסיונות. אם שם המשתמש הוא אנונימי, זה הרבה פחות סביר.

אז יש יתרון כלשהו שיש להם, אבל זה תלוי אם זה יתרון מוגבל עולה על הנוחות של שמות משתמשים קלים. כמה אבטחה מספקת לארגון שלך?


5
2018-05-27 13:36



איך מישהו היה מקבל את הסיסמה אבל לא את שם המשתמש? אם משתמש נותן את הסיסמה שלו לא היה לוותר על שם המשתמש שלו באותה קלות? - laktak
לא בנחישות, אבל אני מסכים שלה לא כמות עצומה של הגנה נוספת, אבל זה קצת - Sam Cogan


אבטחה ושמישות חייב להיות מאוזן כל הזמן אחד נגד השני. זה היה לשפר את האבטחה מפני כוח פראי או שם משתמש ניחוש התקפה אבל עושה את החיים הרבה יותר קשה עבור המשתמשים. המשתמש חייב כעת לזכור 2 חתיכות (אליהם) מידע אקראי כדי להיות מסוגל להיכנס ולבצע פונקציות העבודה שלהם. זה סיכון לעסק כמו המשתמשים נוטים יותר לרשום את שמות המשתמש שלהם (ואם הם כותבים את זה זה זינוק קצר מאוד כדי לכתוב את הסיסמה שלהם עם זה) או לשכוח את שם המשתמש שלהם לגרום לאובדן פרודוקטיביות .

אני לא מאמין שזה שווה אקראי שמות משתמש. אלה מוצגים בטקסט ברור על המסך ולכן הם פגיעים מאוד לכתף גלישה בכל מקרה. הם גם יגרום צער מיותר עבור המשתמשים. והכי חשוב הם מעודדים את המשתמשים לתרגל הרגלי אבטחה רעים.


4
2018-05-27 13:57





הם גם יכולים להיות בשימוש במסווה נתונים בין העובדים. אנשים כותבים דוחות עבור שכר וכו 'לא רואה בדיוק מי עושה מה. מצבים אחרים שבהם אם ההנהלה בוחר פיטורים ונתונים על ביצועי העובדים מוצג עם שמות משתמש אנונימיים לא ניתן להאשים בבחירה ובחירה. דברים אקראיים כאלה.

זה עושה הבדל גדול יותר עבור ארגונים גדולים שבהם לוקחים חלקים של שמות פרטיים ושמות משפחה יגרום הרבה חפיפה.

עריכה: שמות משתמשים מטשטשים גם עושה את זה קצת יותר קשה להבין אילו חשבונות משתמש אתה רוצה לטרוח מנסה לפרוץ. עם ערכת תקן כולם יידעו מנכ"ל / CIO / CFO / מנהל שמות משתמשים. שלה הרבה יותר קשה להבין איזה מספר עובדים הם.


3
2018-05-27 13:35





עבודה עבור AEDU זה בא, אבל לא מטעמי ביטחון. כמו רבים, אנו מבססים את שמות המשתמשים שלנו (עדיין תקועים על 8 תווים גבולות בשל נוכחות של שרתי Solaris ישנים בסביבת המשתמש שלנו) על השם האמיתי בזמן ההרשמה. מאז יש לנו בין 19,000 ל 23,000 תלמידים פעילים בכל זמן נתון זה נעשה על ידי אלגוריתם, כך מנחש מה שם המשתמש של המשתמש הוא השם האמיתי שלהם לא כל כך קשה. תלוי איך אתה קורא את התקנות (FERPA), זה יכול לספור "שירות הספרייה" של סוג שיש להם זכות לבטל את הסכמתם.

זאת הבעיה. אם משתמש בעל שמות ייחודיים למדי, Farheed Zakaria למשל, תהליך יצירת החשבון יקצה להם שם משתמש. זה יהיה 'זאקריף' במקרה זה. קל לנחש. אם אתה מחשיב את זה ספרייה והם לבטל את הצטרפותם, אז היינו צריכים לשנות את שם המשתמש. שינוי שמות משתמש הוא תהליך מסובך, והוא אינו אוטומטי. כאשר התלמידים מתחתנים ומשנים את שמות המשפחה שלהם, אנחנו לא משנים את שם המשתמש שלהם. יש לנו צוות שנישאו בתחילת שנות ה -90, שעדיין יש להם שמות משתמש הכוללים את שמות המשפחה הישנים שלהם.

אז, הולך את החשיבה, מה אם על יצירת החשבון אנו להקצות למשתמשים עם פחות קל לגזור שמות? באוניברסיטה אני בוגר, השם לעיל יהיה "zaka0008"; את ארבעת האותיות הראשונות של שם המשפחה ומספרו הייחודי. זה לא קל להפיק מן השם נתון, אך עדיין מכיל כמה מזהים כדי לעזור למשתמשים לזכור את זה. זה יאפשר לנו להימנע עושה שמות חשבון.

עוד לא עשינו זאת, שכן לא היתה לנו החלטה תקיפה על תחולתה של FERPA למצב זה. אבל זוהי דוגמה של העולם האמיתי של שמות משתמשים פחות ברורים.


1
2018-05-27 21:53



בית הספר אני הלכתי הראשון רק פעם להשתמש דפוס של <first initial><last initial><studentid#>. עכשיו הם משתמשים <studentid#>. זה פשוט בזה מיוחד ההקשר. לא בטוח כמה טוב זה בכלל. - warren


מבחינה טכנית, שם המשתמש הוא חצי צופן, ולכן שימוש בשם משתמש שניתן לנחש אותו בקלות הוא אותו דבר כמו שימוש במשפט-סיסמה שניתן לנחש אותו בקלות.


-2
2018-05-27 21:22



אלא ששמות משתמש ניתנים לספירה עם הרשאות מינימליות, מועברים באופן קבוע ברשת בטקסט רגיל, מוצגים בגלוי במסוף נעול, ובדרך כלל מתאימים לכתובות דוא"ל ידועות. "חצי צופן" להיות ניחוש בקלות הוא חסר משמעות לחלוטין. Crypting אלגוריתמים לקחת את כל העניין בחשבון בבת אחת, הם לא הולכים אות במכתב. דוגמה לקריאת MD5: abc = 900150983cd24fb0d6963f7d28e17f72, abcd = e2fc714c4727ee9395f324cd2e7f331f. אז באמת, הם אפילו לא קרוב להיות אותו דבר. - sh-beta
שמות משתמש אינם ניתנים עוד להגדרה כברירת מחדל מאז שרת Win2003. זה גם כמעט בכל תבנית אבטחה כדי לבטל את ספירת חשבון אנונימי. רק בגלל שאתה יכול לתת במרחק של חצי קוד לא אומר שאתה צריך. כמו כן, רוב הארגונים להפעיל היטב obfuscator התחברות לגבי דוא"ל. כלומר, כתובות דוא"ל הן first.last@company, בעוד שמזהי משתמשים שונים. אם אתה חושב ששם המשתמש הוא חסר משמעות, אתה לא רואה את כל התמונה. - diq