Nedávno jsem zjistil, že jeden zákazník používá pro svoje uživatele náhodné loginy, které nemají nic společného ani s konkrétní osobou, ale ani to není například číslo zaměstnance apod. Nikdy mě to nenapadlo, ale je to velmi bezpečnostně zajímavý koncept.
ISO 2700x (konkrétně ISO 27002, což je ta norma, která vůbec stanovuje co konkrétně můžete implementovat) doporučuje podle kontrolního mechanismu 9.4.2 - Secure log-on procedures, že A good log-on procedure should not provide help messages during the log-on procedure that would aid an unauthorized user.
Toho se většinou dosahuje poměrně známou bezpečnostní politikou (security policy) Interactive logon: do not display last user name.
Důvod je asi jasný. Pokud někdo nezná ani můj login, nemůže zkoušet hesla. Bez ohledu na kvalitu hesla, při znalosti loginu se budou dát hesla zkoušet. To mnohdy vede k jejich zamykání - což je třeba jedno dost podstatné riziko od bývalých znechucených zaměstnanců, které jsem tu popisoval minule.
Ona ta politika není zase až tak všespásná. V tom minulém článku jsou také demonstrační skripty, které by měly ukázat, že to chrání opravdu jen proti totálním anonymním outsiderům - tedy uklízečkám, dodavatelům apod, kteří nemají ve vašem prostředí žádný, alespoň omezený účet. Jinak seznam loginů si může z Active Directory (AD) vypsat libovolný authenticated users - přes LDAP ve výchozím nastavení a přes SAM interface vždycky.
Takže jsem ji nepovažoval jako moc zásadní, protože proti vnitřním zaměstnancům nechrání vůbec.
Ale to jen do okamžiku, kdy nemáte náhodné loginy. Pokud má člověk totálně nic neříkající a nespárovatelný login, má to docela smysl. Pokud není vidět login na přihlašovací, nebo zamykací obrazovce, dokonce i kolegové ze stejného open-space budou mít problém zjistit, jaký mají ostatní přihlašovací jména. Samozřejmě pořád platí, že ve výchozím stavu může authenticated users číst opravdu hodně LDAP atributů, takže to spárování může jít provést přes tyto ostatní informace - ale to už se dá změnit a zabezpečit ručně.
Takže je to samo o sobě docela zajímavý nápad.