Sind anonymisierte Benutzernamen erforderlich?

Unser Sicherheitsmanager besteht darauf, dass wir anonymisierte Benutzernamen verwenden .

Für einen Benutzer namens John Doe wäre sein Benutzername beispielsweise " g74h19 " anstelle von " jdoe ".

Wir haben bereits eine Richtlinie, die ein Konto nach drei ungültigen Anmeldeversuchen sperrt. Außer vielleicht, um einen DOS-Angriff zu erschweren, kann ich nicht sehen, wie dies der Sicherheit helfen würde - noch schlimmer, Sie könnten in den Protokollen nicht mehr sehen, wer wer ist.

Gibt es Sicherheitsempfehlungen, die anonymisierte Benutzernamen unterstützen? (Verknüpfung)

Benutzt hier jemand sie?

Ich werde dies aus einer Windows-Domänenperspektive betrachten. Wenn ich ein Angreifer bin, ist es mir egal, wie die Benutzernamen lauten. Ich will sie einfach. Also werde ich nach einem System ohne RestrictAnonymous oder einem Windows 2000-System suchen und nach allen Benutzernamen in der Domäne suchen. Oder ich erhalte ein einzelnes gültiges Benutzerkonto in der Domain und stelle diese Scans aus. Jetzt habe ich ALLE Benutzerkonten, gegen die ich versuchen kann.

Oh und ich kann auch nach Gruppen suchen. Also werde ich nach wirklich netten wie Domain Admins oder Enterprise Admins oder Gruppen suchen, die besonders interessant aussehen. Und ich werde sehen, wer die Mitglieder der fraglichen Gruppe sind, und mich um sie kümmern.

Obwohl die Anonymisierung von Benutzernamen hilfreich erscheint, glaube ich nicht, dass sie viel dazu beitragen, die Sicherheit tatsächlich zu erhöhen. Und sie erschweren Endbenutzern, Supportmitarbeitern und Administratoren die Fehlerbehebung bei bestimmten Benutzerproblemen.

anonymisierte Benutzernamen sind ein weiteres Beispiel für Sicherheit durch Dunkelheit. Durch die Anonymisierung des Benutzernamens wird es für einen Angreifer schwierig, ihn anhand einer E-Mail-Adresse zu erraten. Exchange verwendet beispielsweise häufig den Benutzernamen des Benutzers als Teil der E-Mail-Adresse.

Wie Sie angegeben haben, ist eine Sperrrichtlinie in Kraft, und Sie verfügen bereits über eine Sicherheitsmethode. Durch die Anonymisierung wird die Wahrscheinlichkeit erhöht, dass bei einem Brute-Force-Angriff das Limit erreicht wird. Eine Sache, die Sie berücksichtigen sollten, ist, was ist, wenn der Benutzer versehentlich sein Passwort preisgibt? In einem Fall, in dem Benutzernamen nicht anonymisiert sind, hat der Angreifer das Kennwort und kann den Benutzernamen wahrscheinlich in weniger als drei Versuchen aus seiner E-Mail erraten. Wenn der Benutzername anonymisiert ist, ist dies viel weniger wahrscheinlich.

Es hat also einige Vorteile, sie zu haben, aber es hängt davon ab, ob dieser begrenzte Vorteil die Bequemlichkeit einfacher Benutzernamen überwiegt. Wie viel Sicherheit reicht für Ihr Unternehmen aus?

Sicherheit und Benutzerfreundlichkeit müssen ständig gegeneinander abgewogen werden. Dies würde die Sicherheit gegen Brute Force oder das Erraten von Benutzernamen verbessern, erschwert den Benutzern jedoch das Leben erheblich. Der Benutzer muss sich nun zwei zufällige Informationen merken, um sich anmelden und seine Jobfunktionen ausführen zu können. Dies ist ein Risiko für das Unternehmen, da die Benutzer mit größerer Wahrscheinlichkeit sowohl ihre Benutzernamen aufschreiben (und wenn sie dies aufschreiben, ist es ein sehr kurzer Schritt, ihr Kennwort damit aufzuschreiben) oder ihren Benutzernamen vergessen, was zu einem Produktivitätsverlust führt .

Ich glaube nicht, dass es sich lohnt, Benutzernamen zufällig zu sortieren. Diese werden im Klartext auf dem Bildschirm angezeigt und sind daher ohnehin sehr anfällig für Schulter-Surfen. Sie verursachen auch unnötigen Kummer für die Benutzer. Vor allem ermutigen sie die Benutzer, schlechte Sicherheitsgewohnheiten zu üben.

Sie können auch beim Maskieren von Daten zwischen Mitarbeitern hilfreich sein. Leute, die Berichte für die Gehaltsabrechnung usw. schreiben, sehen nicht genau, wer was macht. Andere Situationen, in denen das Management Entlassungen wählt und Daten zur Mitarbeiterleistung mit anonymen Benutzernamen angezeigt werden, können nicht der Auswahl und Auswahl beschuldigt werden. Zufällige Dinge wie diese.

Dies ist ein großer Unterschied für große Unternehmen, bei denen die Verwendung von Teilen von Vor- und Nachnamen zu großen Überschneidungen führt.

Bearbeiten: Das Verschleiern von Benutzernamen macht es auch etwas schwieriger herauszufinden, welche Benutzerkonten Sie beim Hacken stören möchten. Bei einem Standardschema kennt jeder die Benutzernamen des CEO / CIO / CFO / Director. Es ist viel schwieriger herauszufinden, welche Mitarbeiterzahl sie sind.

Bei einer .EDU ist dies aufgetreten, jedoch nicht aus Sicherheitsgründen. Wie viele andere basieren unsere Benutzernamen (die aufgrund des Vorhandenseins älterer Solaris-Server in der Benutzerumgebung immer noch auf 8 Zeichen beschränkt sind) auf dem tatsächlichen Namen zum Zeitpunkt der Registrierung. Da wir zu einem bestimmten Zeitpunkt zwischen 19.000 und 23.000 aktive Schüler haben, wird dies durch einen Algorithmus durchgeführt. Daher ist es nicht so schwer zu erraten, wie der Benutzername eines bestimmten Benutzers von seinem tatsächlichen Namen stammt. Abhängig davon, wie Sie die Vorschriften (FERPA) lesen, kann dies als "Verzeichnisdienst" des Typs gelten, von dem sie das Recht haben, sich abzumelden.

Das ist das Problem. Wenn sich ein Benutzer mit einem ziemlich eindeutigen Namen registriert, beispielsweise Farheed Zakaria, weist ihm der Kontoerstellungsprozess einen Benutzernamen zu. Das wäre in diesem Fall "Zakarif". Leicht zu erraten. Wenn Sie dies als Verzeichnis betrachten und sie sich abmelden, müssen wir den Benutzernamen ändern. Das Ändern von Benutzernamen ist ein schwieriger Prozess und nicht automatisiert. Wenn Schüler heiraten und ihren Nachnamen ändern, ändern wir ihren Benutzernamen nicht. Wir haben Mitarbeiter, die in den frühen 90ern geheiratet haben und noch Benutzernamen haben, die ihre alten Nachnamen enthalten.

Was ist also, wenn wir bei der Kontoerstellung Benutzern zuweisen, deren Namen weniger einfach abzuleiten sind? An der Universität, an der ich meinen Abschluss gemacht habe, wäre der obige Name "zaka0008"; die ersten vier Buchstaben des Nachnamens und eine Ziffer für die Eindeutigkeit. Das lässt sich nicht einfach aus dem angegebenen Namen ableiten, enthält jedoch einige Bezeichner, die den Benutzern helfen, sich daran zu erinnern. Dies würde es uns ermöglichen, das Umbenennen von Konten zu vermeiden.

Wir haben dies noch nicht getan, da wir noch keine feste Entscheidung über die Anwendbarkeit von FERPA auf diese Situation getroffen haben. Dies ist jedoch ein Beispiel aus der Praxis, um weniger offensichtliche Benutzernamen zu verwenden.

Technisch gesehen ist der Benutzername eine halbe Chiffre, daher ist die Verwendung eines leicht zu erratenden Benutzernamens dasselbe wie die Verwendung einer leicht zu erratenden Passphrase.