Se encuentra en:
Nombres de usuario
LIBP-0258 (Libro de pautas)
- Área: Control de Acceso y Autenticación
- Tipo de pauta: Directriz
- Carácter de la pauta: Recomendada
Recomendaciones para fortalecer los nombres de usuario.
Pautas
| Título | Carácter |
|---|---|
| Creación de nombres de usuario personalizados | Recomendada |
| Nombres de usuarios protegidos | Recomendada |
| Información personal o pública | No Recomendada |
| Cuentas predeterminadas | No Recomendada |
| Cuentas predeterminadas activas | Obligatoria |
| Credenciales en el código | No Recomendada |
| Credenciales en el instalador | No Recomendada |
| Cuentas especificadas por el usuario | Obligatoria |
| Ejemplos en la documentación | No Recomendada |
Creación de nombres de usuario personalizados
Permitir al usuario elegir su propio nombre
Cuando sea posible, permita al usuario crear su propio nombre de usuario, verificando que el nombre de usuario sea único.
Nombres de usuarios protegidos
Permitir sólo caracteres en los rangos A..Z, a..z, y 0-9
Los nombres de usuario deben estar protegidos de ataques basados en inyección de HTML, SQL y LDAP”
Se recomienda permitir sólo caracteres en los rangos A..Z, a..z, y 0-9.
Si desea permitir espacios, símbolos '@' o apóstrofos, asegurese que el nombre de usuario está protegido apropiadamente del uso de caracteres especiales.
Información personal o pública
Evitar el uso de información personal o de uso público en el nombre de usuario.
Evite el uso de una combinación de nombre, apellido, dirección de correo electrónico, números de tarjeta de crédito, número de cliente, número de empleado o cualquier información semi-pública o similar.
Cuentas predeterminadas
No generar cuentas predeterminadas
Una vulnerabilidad común son las cuentas predeterminadas (cuentas con nombres de usuario y/o contraseñas bien conocidas). Al ser conocidas, los atacantes pueden conseguir una autenticación de forma muy sencilla.
Las nuevas aplicaciones no deberían tener cuentas predeterminadas.
Cuentas predeterminadas activas
Documentar que la infraestructura no tenga cuentas predeterminadas activas
Asegurar que la documentación diga que hay que determinar que la infraestructura no tenga cuentas predeterminadas activas (como Administrator, root, sa, ora, dbsnmp, etc)
Credenciales en el código
No incluir credenciales predeterminadas, especiales o de depuración en el código
No permitir que el código contenga ninguna credencial predeterminada, especial o de depuración.
Credenciales en el instalador
No crear ninguna credencial predeterminada, especial o de depuración en el instalador
Cuando se crea el instalador, asegurar que el instalador no cree ninguna credencial predeterminada, especial o de depuración
Cuentas especificadas por el usuario
Todas las cuentas deben estar especificadas por el instalador / usuario
Asegurar que todas las cuentas, particularmente las administrativas, están completamente especificadas por el instalador/usuario.
Ejemplos en la documentación
No incluir ejemplos o imágenes en la documentación con nombres de usuario
Debe asegurarse que, en los ejemplos o imágenes de la documentación de las aplicaciones, no se muestran los nombres de usuario
Contenidos relacionados
Pautas
| Código | Título | Tipo | Carácter | |
|---|---|---|---|---|
| LIBP-0207 | Gestión de la información de usuarios en aplicaciones integradas | Libro de pautas | Directriz | Obligatoria |
