是否应该删除/删除不活动的管理员帐户？

Question

给予：

• web应用程序
• 一些活跃的管理员帐户。
• 一些不活动的管理员帐户。
• 没有现有的“审计”机制来保存旧账户。
• 不活动的管理员无法登录。

定期删除不活动的管理员帐户是更有益还是更少？是否有任何支持或反对一方的经验？

Answer 1

我会争取把它们删掉。阻止使用这些帐户的唯一原因是：

不活动的管理员无法登录。

这是一种抵抗野蛮强制(或愚弄)身份验证的防御，但它并不能抵御特权升级。

针对web应用程序的OWASP指导原则认为，客户端永远不应该为两个单独的帐户举行具有身份验证的会话。这将在大多数情况下防止权限升级。然而，到目前为止，并不是所有的web应用程序都遵循OWASP准则。

因此，保持那些不活跃但仍有特权的帐户是攻击矢量的一种可能性。

问题的另一个方面是，删除帐户的程序可能消耗资源，甚至本身就不安全。但是，设法生成一个易受攻击的帐户删除过程的可能性要比受到权限升级的可能性小得多。

只是不要通过第一次登录到网络上的主动管理员帐户来删除非活动帐户的定期帐户删除过程。

Answer 2

当我遇到这样的问题时，我总是不得不说“是的，请删除不活动的帐户”。为什么？因为删除不再使用的旧帐户是“良好做法”。有些用例是适用于此场景的边缘用例：

• 用户名重用:如果用户名是"gclooney“而不是"admin22"，那么在创建用户名时，如果新管理员解析为相同的用户名/句柄，则冲突较小。
• 资源浪费:我同意我们不再在Raspberry Pi上运行应用程序。但是，这仍然是内存浪费，也是额外的检查。您现在不仅要检查用户名是否正确，还需要另外检查它们的有效性。
• 不必要的枚举:假设数据泄漏/SQL注入会导致(admin)用户信息的泄漏，那么现在您可能会泄漏比需要更多的信息，如果您还将前管理员的名字和姓氏存储在相关的DB记录中。
• grochmal关于OWASP指南的观点。

总是在更安全的方面犯错，并认为坏人可以把最奇怪的事情变成他们的利益！

Answer 3

它是更有益还是更少？

问题是，“不删除它们有什么理由？”还有什么不太有益的呢？有更多的理由，(正如其他海报所提到的)，删除它们，然后不。

删除：< 30分钟

删除：>灾难恢复的许多天

编辑

对Kzqai的回应

如果您的数据库设置正确，您应该让用户在他们自己的表中。因此，我希望他们的历史是另一张桌子的一部分。如果没有，我建议您重新评估您的数据库配置。此外，如果您遵循良好的实践，您应该备份您的数据库，在回顾旧的/删除的用户时可以参考这些备份。但实际上，如果数据库配置良好，您可以删除一个用户，而不会影响与该用户相关的任何其他内容。