lak*_*tak 7 security anonymized
我们的安全经理坚持我们应该使用匿名用户名。
例如,对于名为John Doe的用户,他的用户名将是“ g74h19 ”而不是“ jdoe ”。
我们已经制定了一项策略,可以在三次无效登录尝试后锁定帐户。因此,除了可能使 DOS 攻击更加困难之外,我看不出这将如何帮助安全 - 更糟糕的是,您将不再能够看到日志中的是谁。
是否有任何支持匿名用户名的安全建议?(关联)
这里有人使用它们吗?
K. *_*ley 16
我将从 Windows 域的角度来解决这个问题。如果我是攻击者,我不在乎用户名是什么。我只是想要他们。所以我将寻找一个没有 RestrictAnonymous 的系统,或者一个 Windows 2000 系统,我将扫描域中的所有用户名。或者我将在域上获得一个有效的用户帐户,然后发出所述扫描。现在我有所有用户帐户可以尝试。
哦,我也可以扫描群组。因此,我会寻找非常好的人,例如域管理员或企业管理员或看起来特别有趣的组。我会看看谁是有问题的组的成员,并寻找他们的踪迹。
因此,虽然匿名用户名似乎有帮助,但我认为它们实际上并不能提高安全性。在对一组特定用户的问题进行故障排除时,它们使最终用户、支持人员和管理员更难。
匿名用户名是另一个隐匿安全的例子。通过匿名化用户名,攻击者很难从电子邮件地址猜测它。例如,Exchange 经常使用用户用户名作为电子邮件地址的一部分。
正如您所说,您有一个有效的锁定政策,那么您已经有了一些安全方法,因此匿名将使其更有可能通过蛮力攻击达到限制。您应该考虑的一件事是,如果用户无意中泄露了他们的密码怎么办?在没有匿名用户名的情况下,攻击者拥有密码,并且很可能在 3 次尝试内从他们的电子邮件中猜出用户名。如果用户名是匿名的,则这种可能性要小得多。
因此,拥有它们有一些好处,但这取决于这种有限的好处是否超过了简单用户名的便利性。您的组织有多少安全性就足够了?
| 归档时间: |
|
| 查看次数: |
491 次 |
| 最近记录: |