Erzwungene alpha-numerische Benutzer-IDs
https://stackoverflow.com/questions/97765
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich bin Programmierer an einem Finanzinstitut. Mir wurde kürzlich gesagt, dass alle neuen Benutzer -IDs mindestens ein Alpha und einen numerischen ID haben. Ich dachte sofort, dass dies eine schreckliche Idee ist und ich würde sie lieber nicht umsetzen, da ich glaube, dass dies ein Anti-Feature und eine schlechte Benutzererfahrung ist. Das Problem ist, dass ich keinen guten Fall habe, wenn ich diese Anforderung nicht implementiert habe.
Denken Sie, dass dies eine gute Voraussetzung ist?
Haben Sie gute Gründe, es nicht zu tun?
Kennen Sie jede Forschung, auf die ich mich verweisen könnte?
Bearbeiten: Das ist nicht In Bezug auf das Passwort. Wir haben bereits ähnliche Anforderungen dafür, was ich nicht widerlegt.
Lösung
Ein Argument dagegen ist, dass viele Benutzernamen / IDs in anderen Bereichen keine numerischen Komponenten erfordern. Es ist wahrscheinlicher, dass Benutzer besser in der Lage sind, sich an Benutzer -IDs zu erinnern, die sie an anderer Stelle verwendet haben - und das ist wahrscheinlicher, wenn sie keine Zahlen einbeziehen müssen.
Abhängig vom System können die Benutzer-IDs bei der Verbindung zu externen Systemen möglicherweise gut als Standardeinstellungen funktionieren (SSH verhält sich auf diese Weise unter UNIX-ähnlichen Systemen). In diesem Fall ist es eindeutig vorteilhaft, eine ID zu haben, die zwischen den Systemen geteilt wird.
Die Verwendung der gleichen ID an mehreren Stellen verbessert die Konsistenz, was ein bekanntes Aspekt guter Software-Schnittstellen ist. Es ist nicht allzu schwer zu zeigen, dass die Art und Weise, wie Menschen mit einem System interagieren ist eine Benutzeroberfläche und sollte sich an (zumindest einige) der bekannten Schnittstellenrichtlinien halten. (Offensichtlich sind Ideen wie Tastaturverknüpfungen bedeutungslos, wenn Sie die Interaktionen zwischen mehreren, möglicherweise unbekannten Systemen, aber Aspekten wie Konsistenz in Betracht ziehen tun anwenden.)
Bearbeiten: Ich gehe davon aus, dass es sich bei dieser Diskussion um Benutzernamen oder öffentlich sichtbare Ausweise handelt. NICHT Etwas, das sich direkt auf die Sicherheit bezieht, z. B. Passwörter.
Andere Tipps
Ich würde sie zunächst aus ihren spezifischen Gründen dafür fragen. Sobald Sie eine Liste von Kugelpunkten und die Gründe haben, ist es einfacher, Alternativen zu widerlegen oder zu liefern.
Wie für allgemeine Ideen:
- Dies ist eine Meinung, aber das Hinzufügen einer Zahl zu einem Benutzernamen wird die Sicherheit nicht unbedingt erhöhen. Die Leute schreiben Benutzernamen auf Post IT Notes auf. Die meisten Benutzer werden nur zu Beginn oder Ende ihres Benutzernamens ein '1' hinzufügen, was es leicht erraten lässt.
- Vom Sicht der Benutzerfreundlichkeit ist dies schlecht, da es die Norm bricht. Sie zwingen, ihrem Benutzernamen eine Ziffer hinzuzufügen, wird nur zum obigen Punkt führen. Sie werden einfach ein '1' zum Ende oder Beginn ihres Benutzernamens hinzufügen.
Denken Sie daran, je komplexer ein Authentifizierungssystem ist, desto wahrscheinlicher ist es, dass ein allgemeiner Benutzer Wege finden, um es zu umgehen und seine Verbindung in der Kette schwach zu machen.
BenutzerIDs? Es ist im Allgemeinen eine gute Idee, dass Passwörter alphanumerisch sein müssen, da sie gegen einen Wörterbuchangriff widerstandsfähiger sind. Es macht für Benutzernamen keinen Sinn. Der springende Punkt bei einer Namen/Passwort -Kombination ist, dass der Namensteil nicht geheim gehalten werden muss.
Wenn Sie an einem Finanzinstitut arbeiten, gibt es wahrscheinlich Vorschriften über solche Dinge, sodass es höchstwahrscheinlich außerhalb Ihrer Hände ist. Eine Sache, die Sie tun können, ist dem Benutzer klar zu machen, wenn er eine ungültige ID eingegeben hat. Und warten Sie nicht, bis er klickt. Zeigen Sie eine Nachricht direkt neben dem Feld an und aktualisieren Sie sie, wenn er eingibt.
Einige der oben genannten Antworten haben ein Gegenargument: Wenn die Benutzer den gleichen Benutzernamen aussuchen, den sie auf den anderen Websites verwenden, wählen sie wahrscheinlich auch die gleichen oder ähnlichen Passwörter für die Finanzseite, was die Sicherheit senkt.
Ein Grund, dies nicht zu tun: Wenn Sie mehr Einschränkungen auferlegen, als sie den Benutzern gewohnt sind, werden sie die Anmeldeinformationen aufschreiben, und das ist ein offensichtlicher Sicherheitsverlust.
Beide Bankkonten benötigen ich einen alphanumerischen Benutzernamen und zwei Passwörter für die Online -Anmeldung. Einer von ihnen hat auch ein Bild, an das ich mich erinnern muss. Die beiden Passwörter müssen sich einmal im Monat oder so ändern. Daher habe ich alle Anmeldeinformationen hier in einer Textdatei. (Selbst wenn man es betrachtet, macht es keinen Sinn. Ich muss zur Bank hinuntergehen und meine Passwörter wieder zurücksetzen. Das ist insgesamt 7 Passwort zurückgesetzt für 6 Anmeldungen. Sprechen Sie über Sicherheit, nicht einmal ich kann auf mein Konto zugreifen.)
Es ist gut, wenn es in ihrem Passwort ist (als leise, Finanzunternehmen verweigern Ihnen dieses Sicherheitsrecht [ich spreche mit Ihnen American Express]).
Benutzername, ich sage nein, es sei denn, sie wollen.
Ein Benutzername muss (vermutlich) am Telefon zitiert werden, wenn er Unterstützung auffordert, damit er im Gegensatz zu einem Passwort veröffentlicht wird. Außerdem wird das Feld Benutzername in Browsern wie Passwortfeldern nicht maskiert, sodass es viel mehr Belichtung hat und an verschiedenen Stellen zwischengespeichert/protokolliert wird, sodass der „Nutzen“ der zusätzlichen Sicherheit in kürzester Zeit rückgängig gemacht wird.
Und je schwieriger Sie Dinge machen, desto wahrscheinlicher ist es, dass ein Benutzer ihn irgendwo aufschreiben, was die Sicherheit wieder untergräbt (dasselbe gilt tatsächlich für Passwortrichtlinien, aber das ist eine andere Geschichte!)
Ich arbeite auch an einem Finanzinstitut und unsere Benutzernamen (sowohl echte Menschen als auch Produktions -IDs) sind alle Kleinkoffer, alphabetisch, bis zu 8 Zeichen, und ich habe es nie als Problem angesehen ... vermeidet die Verwirrung von 0 vs o, 1 vs Ich und 8 vs B - es sei denn, Sie arbeiten für dasselbe Unternehmen wie ich und sind kurz davor, eine neue Richtlinie umzusetzen ...
Das Hinzufügen einer Funktion fügt Kosten hinzu. Es wird jetzt Zeit dauern, es zu bauen und zu testen und in Zukunft zu unterstützen. Es sollte kein Merkmal ohne wirklich guten Grund gebaut werden.
Diese Funktion ist sinnlos. Benutzernamen sollen nicht geheim gehalten werden, sodass starke Benutzernamen keinen Vorteil haben. Es lohnt sich wahrscheinlich, Zeit damit zu verbringen, Kennwörter (oder andere Authentifizierungsfaktoren) stark zu machen, aber Benutzer sollten in der Lage sein, ihren Benutzernamen anderen Benutzern zu vermitteln, ohne dass dies ein Sicherheitsrisiko ist.
Wenn Ihre Anwendung die Auswahl der Benutzer -ID zusätzliche Einschränkungen auferlegt, haben einige Ihrer Benutzer eine andere Benutzer -ID für Ihre Anwendung als für die anderen Anwendungen in Ihrer Umgebung. Hinweis: Ich gehe davon aus, dass dies eine interne Anwendung (für die Verwendung durch Mitarbeiter) und nicht in der Anwendung im Internet ist.
Mit inkonsistenten Benutzernamen werden eine Reihe spezifischer Risiken hinzugefügt:
- Es wird den Prüfungsweg schwieriger machen (ein schwerwiegendes Sicherheitsrisiko).
- Es kann Kosten hinzufügen, wenn Sie später beginnen Einmalige Anmeldung.
- Dies führt zu einer schlechten Benutzererfahrung, da Benutzer sich daran erinnern müssen, dass diese Anwendung einen seltsamen Benutzernamen verwendet.
