[闲聊] 使用者名称当做电脑名称

楼主: CMJ0121 (请多指教!!)   2019-07-09 22:18:30
依然是 security.stackexchange 上面的提问 [0]
我觉得这算是很常在系统管理上会遇到的问题
发问者提出了一个状况:
组织里面的 IT 想要管理其他人的电脑
为了方便起见 他希望电脑名称跟使用者名称有关系 (像是 John Doe -> JD)
他想要寻求安全性建议可以回(ㄉㄚˇ)馈(ㄌㄧㄢˇ)
就我看来 如果系统名称跟合法使用者名称有关联性
这样就有 CWE-200 Information Exposure [1] 的安全性疑虑
通常来说 information leak 没有太多的问题 就是敏感资讯泄漏而已 (挖鼻)
但是敏感资讯泄漏也是有区分程度的
像是公司有多少员工数量 在 A 公司莫不在意但在 B 公司却注明在合约中不能公开
对于登入 (Login) 来说通常需要 1) 有效地使用者名称与 2) 正确的密码
对于想要入侵的攻击者来说 这会是一个二维的问题
使用者密码可能是简单的 password 但使用者名称却可以是复杂的 908714b15f34a119f80e
如果使用者名称可以很容易的被攻击者知道 那入侵的问题就变成一维的难度了
[0]: https://security.stackexchange.com/questions/213204
[1]: https://cwe.mitre.org/data/definitions/200.html
作者: lifegoeson (不见了 〒□〒)   2019-07-17 00:43:00
用人名当电脑名反而不好管理,而且久了容易乱以前看过一间公司有两个Kelly Chang,就有人的被加个2在名称里,烂爆了

Links booklink

Contact Us: admin [ a t ] ucptt.com