[Misc] Usernames: case sensitive of niet?

Maak usernames casesensitive, maar sta usernames die hetzelfde zijn niet toe.

Dus als er een user Klaasje is, moet ie met deze username case sensitive inloggen. Maar er naast deze account geen user klaasje zijn.

Waarom? Stukje extra beveiliging, verder weinig nut.

[ Voor 12% gewijzigd door Victor op 02-09-2004 17:52 ]

Als je geen case sensitive user names hebt kun je sowieso al heel wat minder usernames hebben. Verder lijkt het me weinig met security te maken hebben. Het betekent wel dat er mensen gaan 'rondlopen' met bijvoorbeeld de zelfde nick, maar de ene lower case erin, en de ander uppercase.

Je ken 't verwarrend vinden.

Ik zou usernames NIET case sensitive doen, passwords wel. Ik weet niet wat voor een systeem het gaat worden maar neem nou als voorbeeld een forum. Het onderscheid tussen Piet, piet en PIET is dan niet makkelijk te maken. Hetzelfde geldt natuurlijk ook voor een helpdeks. hpdsk "Wat is uw username?" Piet: "Ja, dat is piet".....

Ik zou gewoon case insensitive kijken bij het inloggen, maar wel de username case sensitive opslaan in de database bij het aanmelden. Dus in het geval van mijn nick zou je bij het registreren NMe84 opslaan in de database, maar bij het inloggen werkt nme84 ook. Verder natuurlijk geen duplicates toestaan, dat wekt alleen maar verwarring.

King_Louie schreef op 02 september 2004 @ 17:51:
Maak usernames casesensitive, maar sta usernames die hetzelfde zijn niet toe.

Dus als er een user Klaasje is, moet ie met deze username case sensitive inloggen. Maar er naast deze account geen user klaasje zijn.

Waarom? Stukje extra beveiliging, verder weinig nut.

Dat kan ik niet echt beveiliging noemen. Negen op de tien gebruikers die Piet heten hebben als gebruikersnaam piet (zonder hoofdletter) of Piet (met hoofdletter). Meer varianten worden waarschijnlijk niet gebruikt.

Verder ben ik het met Magma en NMe84 eens.

Ik zou usernames wel casesensitief maken. Tenslotte heb je de kans dat er veel 'Pieten' in je userbase zitten en geeft casesensitief je een behoorlijke factor meer mogelijke user/pass combi's (dring wel aan bij de userbase om low/high case te gebruiken icm cijfers/specialchars).

[ Voor 19% gewijzigd door Verwijderd op 02-09-2004 18:01 ]

tomatoman schreef op 02 september 2004 @ 17:58:
[...]
Dat kan ik niet echt beveiliging noemen. Negen op de tien gebruikers die Piet heten hebben als gebruikersnaam piet (zonder hoofdletter) of Piet (met hoofdletter). Meer varianten worden waarschijnlijk niet gebruikt.

Verder ben ik het met Magma en NMe84 eens.

Het stukje beveiliging zit 'm in brute force. Als je case sensitive werkt is een stukkie brute force software langer bezig.

En zoals ik al zei, geen dubbele namen toestaan (Klaas & klaas), dit is idd te verwarrend.

Er zijn voors en tegens, maar die vallen over het algemeen in het niet bij het belang van de gebruikersvriendelijkheid.
Ik hoop dat ik nooit support hoef te doen op een applicatie waar men met case sensitive usernames in moet loggen.

De extra beveiliging is bijna nihil, dus daar moet je het niet voor doen. De afweging die speelt is naar mijn idee het terwille zijn van de slordige gebruiker (die niet kan onthouden of z'n username nu Piet, piet of PIET was) tegenover het eenvoudig houden van je systeem.

Voor niet al te computerfaehige gebruikers is het wel prettig als de usernames case insensitive zijn en voor veel systemen lijkt dat me ook een zinnige keuze. Het maakt het systeem echter wel iets ingewikkelder (omdat Piet nu ook kan inloggen met piet of PIET of pIeT) en zowel vanuit het oogpunt van softwareontwikkeling als documentatie naar de gebruiker toe heeft het wel wat dat er precies 1 procedure is waar niet van af geweken kan worden; daarmee wordt immers meer duidelijkheid geschapen.

Dit argument snap ik trouwens niet:

Burat schreef op 02 september 2004 @ 17:50:
Mijn enige gefundeerde argument voor case sensitivity is dat bij koppelen naar andere Linux applicaties het voor de gebruiker logischer is als het overal case sensitive is...

Hoe had je dat gezien?

In mijn CMS heb ik het zo gemaakt dat usernames die geregistreerd worden case-sensitive worden opgeslagen, maar dat je met een case-insensitive naam kunt inloggen. Dus, ik registreer --MeAngry--, dan kan ik ook inloggen met --meangry--.
Voor wachtwoorden geldt dit natuurlijk niet...
Hier gebruiken ze volgens mij dezelfde methode.

[edit]
Als ik dan bijv. inlog onder --meangry-- en ik ga naar mijn profielpagina, dan staat er natuurlijk wel weer mooi --MeAngry-- omdat dat de originele naam is.

[ Voor 20% gewijzigd door --MeAngry-- op 02-09-2004 18:19 ]

[hier stond iets doms]

[ Voor 98% gewijzigd door Kuhlie op 02-09-2004 18:51 ]

King_Louie schreef op 02 september 2004 @ 18:07:
[...]

Het stukje beveiliging zit 'm in brute force. Als je case sensitive werkt is een stukkie brute force software langer bezig.

En zoals ik al zei, geen dubbele namen toestaan (Klaas & klaas), dit is idd te verwarrend.

Dat scheelt dus hooguit een factor 2 bij het rekenwerk. Je hoeft alleen klaas en Klaas te proberen, maar niet bijvoorbeeld kLaAs (tenzij er allemaal breezahs op het netwerk zitten ). Wachtwoorden moeten natuurlijk wel case sensitive zijn.

[Edit]
Mocht je toch met hacker-onvriendelijke gebruikersnamen willen werken, deel dan zelf de gebruikersnamen uit en gebruik daarvoor als basis bijvoorbeeld een personeelsnummer. Mijn gebruikersnaam op mijn werk is bijvoorbeeld nl116459. Dat is toch wat lastiger te achterhalen voor een hacker dan mijn werkelijke naam.

[ Voor 30% gewijzigd door Tomatoman op 02-09-2004 19:06 ]

Burat schreef op 02 september 2004 @ 19:26:
Als je dat wil voorkomen, moet je gewoon alles case sensitive maken...

Of juist alles case insensitive. In ieder geval gewoon altijd hetzelfde systeem, en voor het systeem dat het handigste werkt verwijs ik graag naar mijn eerste post in dit topic.

NMe84 schreef op 02 september 2004 @ 19:38:
[...]

Of juist alles case insensitive. In ieder geval gewoon altijd hetzelfde systeem, en voor het systeem dat het handigste werkt verwijs ik graag naar mijn eerste post in dit topic.

Maar het mailsysteem bestaat vaak al, en wordt niet geprogrammeerd door de CMS ontwikkelaar. Daarom zou het handig kunnen zijn wel voor case sensitivity bij het inloggen te kiezen.

Burat schreef op 02 september 2004 @ 19:26:
Bij een klant van ons heeft een gebruiker voor alles dezelfde username: Extranet, pop-email, inbelverbinding, etc. En nu kreeg de helpdesk continu mensen aan de lijn die "niet konden inbellen, terwijl ze wel op het extranet konden met dezelfde gegevens". En dan bleek dat inbellen case sensitive was terwijl inloggen op extranet case insensitive was.

Aha, ik zie het probleem. Het is duidelijk vervelend als het niet overal hetzelfde werkt; maar daar zijn we het wel over eens. Je moet dus alles hetzelfde laten werken, maar dan heb je nog de keuze uit alles case sensitive, of niets.

Mithrandir schreef op 02 september 2004 @ 20:58:
Maar het mailsysteem bestaat vaak al, en wordt niet geprogrammeerd door de CMS ontwikkelaar. Daarom zou het handig kunnen zijn wel voor case sensitivity bij het inloggen te kiezen.

Maar je kan ook best een Windows-programma hebben dat voor elke gebruiker een bestand aanmaakt, en dat dus net als het bestandssysteem zelf case insensitive is. Het hangt er voor dit argument dus maar net vanaf welk systeem er al in gebruik is.

Overigens denk ik dat de situatie waarin al een case senstive systeem bestaat vaker voorkomt dan omgekeerd, dus dat is misschien een iets logischere keuze.

Soultaker schreef op 02 september 2004 @ 21:15:
Overigens denk ik dat de situatie waarin al een case senstive systeem bestaat vaker voorkomt dan omgekeerd, dus dat is misschien een iets logischere keuze.

Ik weet wel zeker van niet. Windows is niet case sensitive bij het inloggen en verreweg de meeste corporate gebruikers gebruiken een versie van Windows als OS.

Het zou trouwens heel praktisch zijn (en voor gebruikers vaak erg elegant) als je de ingebouwde authenticatie van Windows gebruikt in je programma. Dat heeft voor de gebruiker als voordeel dat hij niet een tweede keer hoeft in te loggen (de eerste keer was toen hij zich in Windows aanmeldde). Aangezien jij een Linuxapplicatie schrijft is dit voor jou niet echt een oplossing, maar in het algemeen is Windows authenticatie een betere oplossing dan een eigen brouwsel.

[ Voor 39% gewijzigd door Tomatoman op 02-09-2004 21:31 ]

tomatoman schreef op 02 september 2004 @ 21:26:
[...]
Ik weet wel zeker van niet. Windows is niet case sensitive bij het inloggen en verreweg de meeste corporate gebruikers gebruiken een versie van Windows als OS.

Het zou trouwens heel praktisch zijn (en voor gebruikers vaak erg elegant) als je de ingebouwde authenticatie van Windows gebruikt in je programma.
...
Aangezien jij een Linuxapplicatie schrijft is dit voor jou niet echt een oplossing, maar in het algemeen is Windows authenticatie een betere oplossing dan een eigen brouwsel.

Zinnige opmerking, maar als je gaat kijken naar win-servers vanaf windows 2000 dan kan je er zowiezo al bij met ldap. en ldap authentication is ook heel goed te doen vanuit linux, dus gewoon windows authenticatie maken. Een authenticatie systeem werkt altijd het beste ( zegt iemand die aan de ene kant werkt met een password renewal op een server met weken en op een andere server met maanden, levert altijd leuke situaties op. Tegen een nieuw personeelslid gaan zeggen : het kan voorkomen dat je je password op systeem B een paar dagen later aan moet passen dan op systeem A. Is altijd en levert bij elk nieuw personeelslid weer een telefoontje naar systeembeheer op die weer kunnen uitleggen wat de mensen ook op papier hebben gekregen... )

Ik moet er iig niet aan denken als er hier op het forum nog een 'femme', 'kees', 'acm' etc rondliepen...

ACM schreef op 02 september 2004 @ 22:55:
Ik moet er iig niet aan denken als er hier op het forum nog een 'femme', 'kees', 'acm' etc rondliepen...

Nee, één daarvan is al erg genoeg...
/me rent

Serieus: als het om gebruikersaccounts voor werknemers van een bedrijf gaat, kun je prima namen van de werknemers gebruiken. Dan wil je niet eens dat er allemaal rare gebruikersnamen worden gebruikt.
Wat ook kan, is een e-mail adres als inlognaam nemen, die zijn toch al uniek, en moet ook worden onthouden door de eigenaar.

Als het om een publieke applicatie gaat, waarop iedereen zijn eigen gebruikersaccount kan registreren, dan zou ik aangeven dat de gebruikersnaam wèl case-sensitive is, ook al is dat niet altijd zo. Het voorkomt problemen en vooral verwarring.

[ Voor 4% gewijzigd door Verwijderd op 02-09-2004 23:02 ]

Verwijderd schreef op 02 september 2004 @ 23:01:
[...]

Nee, één daarvan is al erg genoeg...
/me rent

Serieus: als het om gebruikersaccounts voor werknemers van een bedrijf gaat, kun je prima namen van de werknemers gebruiken. Dan wil je niet eens dat er allemaal rare gebruikersnamen worden gebruikt.
Wat ook kan, is een e-mail adres als inlognaam nemen, die zijn toch al uniek, en moet ook worden onthouden door de eigenaar.

Als het om een publieke applicatie gaat, waarop iedereen zijn eigen gebruikersaccount kan registreren, dan zou ik aangeven dat de gebruikersnaam wèl case-sensitive is, ook al is dat niet altijd zo. Het voorkomt problemen en vooral verwarring.

ACM of ACM@tweakers.net, nee hoor. Irritatie factor voor naam blijft net zo hoog.
* Gomez12 is net Cheatah voorbijgerend....

Maar ontopic, emailadressen zijn alleen maar irritant om mee aan te loggen, ze zijn te lang ( het gedeelte na het @ maakt het niet meer uniek ) , en het grootste gedeelte vind ik overbodig om in te tikken want het is niet meer uniek...

Handiger is het naar mijn idee om je inlognamen gelijk te trekken met je emailadressen ( stukje insecurity, maar goed password kan dat tegengaan ). * Gomez12 heeft hier mensen rondlopen die rustig een accountnaam van 13 chars intikken ( is het begin van hun emailadres ) terwijl unix alleen de eerste 8 checkt ( uitleggen dat ze maar 8 characters hoeven in te vullen wekt alleen maar verwarring op en van 5 toetsaanslagen extra zijn nog maar weinig mensen doodgegaan... )