Összegyűjtöttem egy csokorba, hogy az utóbbi egy évben milyen felhasználónevekkel akartak illetéktelenül belépni az általam is kezelt weboldalakra.

A legújabb gyűjtéseket és tapasztalatokat ide írom listaként nem kommentálva:
Leggyakoribbak:

  1. admin
  2. a weboldal domainneve
  3. login

Legújabbak:

  1. anna
  2. staff
  3. seamus
  4. jagoda

Email címes próbálkozás:

  1. admin@weboldal domainneve
  2. „”
  3. „”

Mindez igazolja azokat a figyelmeztetéseket, hogy milyen felhasználónevet célszerű kerülni, mert az elsők között fogják kipróbálni azok az illetéktelen személyek, automatizmusok, amelyeknek célja a különböző informatikai rendszerek sebezhetőségeinek feltárása, illetve az azokba való jogosulatlan belépés.

Ezek többsége adatbázisokat használ a leggyakrabban használt felhasználónév/jelszó párosításokkal, és egymás után próbálgatják a különböző kombinációkat. Amit már ezerszer leírtak mások, azt csak megerősíthetem, a leggyakoribb ilyen felhasználónév az „admin” és annak különböző variánsai voltak. Ilyenek az „administrator”, „wordpressadmin”, „adminuser”, „user” Emellett gyakoriak voltak az ugyancsak technikai felhasználónevek, mint a „demo”, a „root”, a „support” illetve a „login”.

A lista élén van még az „a”, „qwert”, „asdf” és az „123”, „01234” is, feltételezem a felhasznált adatbázisok elején található értékekről van szó. Érdekesebb próbálkozások, például az administrator portugál/spanyol „administrador” változata. Természetesen nem maradt ki a weboldalak „domainneve” sem, annak valamilyen variációja, ami a véletlenszerű  találgatásnál már jóval célzottabb próbálkozásra utal.

Meg persze vannak az önmagukban semmit sem mondó, vagy többféleképp is érthető nevek, mint az „jagoda”, vagy épp a „seamus”.

Amennyiben a fenti felhasználónevek közül mégis használatban van valamelyik, az sem felétlenül jelent azonnal bekövetkező problémát, hiszen a sikeres belépéshez jelszóra is szükség van (jó esetben), de azért nyilván senki sem szeretné megkönnyíteni a támadók dolgát. Javasolt mihamarabb lecserélni másik felhasználónévre, illetve mindenképp célszerű olyan védelmet használni, ami a nem létező felhasználónévvel próbálkozó IP címet azonnal blokkolhatja.

Sokan, amikor felhasználónevet választanak maguknak, akkor egy kicsit mindig benne vannak saját maguk is (név, becenév, évszám, dátum stb.), feltéve persze, hogy szándékosan nem törekszenek a kilétüknek tudatos elfedésére.

Milyen akkor szerintem a jó felhasználónév? Mit tegyünk még a biztonságunk érdekében?

  • nem tartalmaz admin, user, technikai, a weboldalra utaló nevet, elemeket,
  • a “szótáras” módszerrel nehezen elérhető (vagy eleve értelemmel nem bíró karakterlánc),
  • nincs semmi köze sem a konkrét felhasználóhoz, sem az ő környezetéhez,
  • mindezek ellenére mégis könnyen megjegyezhető és kényelmesen használható,
  • használjunk jelszótárolót, ne legyenek ismétlődő, többször használt neveink, jelszavaink,
  • kis és nagy betű, szám és különleges karakter használata a felhasználónévben és a jelszóban egyaránt
  • felhasználó neveinkről, jelszavainkról legyen biztonsági mentésünk és taroljuk biztos helyen
  • ahol lehet, használjunk kétfaktoros bejelentkezést.