Identifikace: Jaké zvolit uživatelské jméno?
V tomto příspěvku se budeme věnovat volbě vhodného uživatelského jména, které by měl uživatel pro přihlašování k vybrané službě používat.
Popíšeme si způsoby, jakými může být uživatelské jméno, dále jen ID, vytvořeno a jaké výhody a nevýhody jsou s nimi spojeny. Základní otázka tohoto příspěvku zní: Měl by mít uživatel možnost si své ID sám vytvořit, anebo by mu ho měl přidělit systém?
Systémem generované ID
Použití ID, které je nepredikovatelné a nedá se z něj odvodit, komu patří, je sice „security by obscurity“ přístup, ale výrazně se tím snižuje riziko. Na takové ID, byť známe jeho délku a strukturu, lze jen obtížně vést útok, neboť nevíme, zda takové ID v systému vůbec existuje. Také cílený útok na konkrétní osobu je prakticky nemožný, protože obvykle nevíme, jaké ID jí patří. Nevýhodou ID generovaných systémem je, že jsou velice obtížně zapamatovatelná a uživatel si je spolu s heslem zcela určitě někam poznamená, což ale nemusí být až takový problém, jak se možná na první pohled zdá.
Uživatelem vytvořené ID
Pokud uživateli umožníte, aby si své přihlašovací ID vytvořil sám, musíte si položit a zodpovědět několik otázek. Jak dlouhé by takové ID mělo být? Jaké znaky smí obsahovat? A především jaké hlášení vypíšete uživateli na obrazovku v okamžiku, když jím zvolené ID bude již použito? Tím, že uživateli musíte dát v okamžiku, kdy se registruje, nějakým způsobem najevo, že jím požadované ID ve vašem systému již existuje a musí si zvolit jiné, nahráváte i útočníkovi. Pro toho jistě nebude problém vytvořit si skript, který bude postupně zkoušet nejrůznější jména a tak získá velice rychle seznam již existujících účtů.
E-mail jako ID
Pro uživatele je možnost využít svůj e-mail pro přihlášení velice lákavá. Svoji e-mailovou adresu na rozdíl od nově vytvořeného nebo přiděleného ID nezapomene a stačí mu tak zapamatovat si jen heslo. Na druhou stranu zde roste riziko, že uživatel pro přihlášení použije stejné heslo, jaké má do samotného e-mailu. A to není jediné riziko, kterému bude uživatel vystaven. Pokud by se uživatel k dané službě přihlásil např. na počítači, na kterém by se nacházel malware, získal by útočník kromě přihlašovacích údajů i platnou e-mailovou adresu. Také cílený útok na konkrétní osobu je v tomto případě mnohem snazší, protože zjistit její e-mailovou adresu je snadné. A konečně, pokud by chtěl útočník zjistit, kdo všechno má v systému účet, může postupovat stejně jako v předchozím případě.
Závěr: Jako nejbezpečnější řešení se jeví generovat ID systémem, to ovšem neznamená, že ostatní způsoby jsou zcela nevhodné. Záleží především na tom, k jaké službě se bude uživatel přihlašovat.
Štítky: informační bezpečnost
K článku “Identifikace: Jaké zvolit uživatelské jméno?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.