简单与神秘的用户名

Question

在创建用户时（例如在 linux 系统中），对于用户名的语法是否有任何安全建议？

让我们说： “FTP_User1”是否不如“Xg_32_FTP_User1_043”之类的“安全”？

我已经多次看到这种尝试膨胀用户名的尝试，但从未得出结论是否真的有用。它可能会阻止攻击者猜测帐户名称，但是当使用强密码时，这对他们没有多大帮助。

有什么想法吗？

Answer 1

不，没有这样的建议，也不应该有。

用户名不是秘密，而“秘密”一词在信息安全中具有相当特殊的含义 - 您必须不惜一切代价将其隐藏起来（即密码、加密密钥等）。

让潜在攻击者的生活更加艰难是常识，但试图让用户名不可猜测可能只会阻止青少年黑客崇拜者，他们无论如何都无法通过下一步（例如密码保护）。
任何熟练的攻击者甚至都不会尝试猜测，而是会找到一种直接的方法来获取您的用户名的完整列表，或者尝试他们已经知道存在的用户名。

您必须防止通过其他方式泄露用户名。让登录名无法猜出只是浪费时间，而且真的让用户很恼火。

Answer 2

我不认为神秘的用户名在安全方面很有用，因为无论如何它们通常都是可见的。例如：

• Linux 有类似users 的命令来打印用户的用户名 当前登录到当前主机
• 在${HOME} 中，您可以看到${HOME}/FTP_User1/ 形式的所有用户的主目录（尽管您可能没有访问权限）
• 用户名可能会作为文件或文件夹的所有者出现在日志文件和其他各种地方

神秘的用户名只是“通过默默无闻的安全”，而不是“真正的安全”。如果您想要一个安全的 Linux 系统，则需要仔细设置访问权限并鼓励使用良好的密码。