我猜没有。为什么？因为如果您以可以消除暴力攻击/字典攻击或任何其他试图强制登录的攻击的方式保护您的环境，那么暴露用户名不会对其做任何事情，此后您可以限制 LSP 中的尝试. 如果您更深入地了解可能的攻击，他们可以生成基于您的用户名的字符串，例如 username is am123，他们可以将ham123或aM93放在他们的 dict 列表中）。

我应该保密我的roastedbeans.ru 用户名吗？是的，您应该这样做，因为这不是您的环境，您无法管理它。因此，您根本不知道它是否安全。

泄露 PC 帐户用户名不好吗？

总之没有。为什么？

1. 首先，您的 PC 用户名并不是您独有的信息。世界上很多人都可以拥有相同的 Windows 用户名。
2. 由于它不是一个人独有的，例如两个人不能拥有相同的电子邮件地址的电子邮件地址，因此攻击者无法获得太多信息，甚至无法在一定程度上判断用户名属于您和您一个人。
3. 当然，如果你的用户名本身就是你的名字，攻击者可能会利用这些知识来进一步 OSINT 你，但仅此而已。

谷歌搜索通常会让我回到这些文章的前两篇。这些答案表明，在网站上透露网站帐户的用户名可能很糟糕，因为它为恶意用户提供了尝试破解帐户所需的信息。“黑客”变得更容易，因为坏人已经知道在互联网上的哪个位置尝试密码来破解网站帐户。

这是因为网站中的用户名是唯一的，而且在暴力攻击中需要两条信息。攻击者可以（如果网站允许）尝试密码组合，因为他已经知道用户名是有效的。

即使用户拥有端口转发的远程输入软件，也必须知道计算机或路由器的互联网地址，其中 IPv4 空间中约有 40 亿个，而 IPv6 中的数量更是天文数字。知道从哪里开始戳似乎要困难得多。

您在这里所做的假设是错误的。永远不要认为通过隐藏 IP 地址你可能是“安全的”。这里必须应用纵深防御的概念。当您阅读此答案时，正在扫描互联网以查找漏洞。

因此，日志会将帐户用户名显示给可能下载日志文件的任何人。包括未经身份验证的访问者在内的每个人都可以下载日志文件。一些用户混淆了这些路径名，因为他们觉得在网络上公开他们的用户名是不好的。

在我看来，这里没有什么不安全的地方，而且你已经说过一半的人使用假名。对于攻击者来说，除了一些关于此人的信息之外，没有什么实质性的收获。

即使用户拥有端口转发的远程输入软件，也必须知道计算机或路由器的互联网地址，其中 IPv4 空间中约有 40 亿个，而 IPv6 中的数量更是天文数字。知道从哪里开始戳似乎要困难得多。

在此声明中，您假设攻击者专门针对您。这往往不是这样，更多的是有机会。

从攻击者的机器执行的特定工具和/或脚本将扫描 Internet 以查找常见漏洞，以便访问任何（随机）机器。

有时这些工具要简单得多，例如仅尝试通过攻击 TCP/22 (SSH) 来猜测用户名和密码。

因此，日志会将帐户用户名显示给可能下载日志文件的任何人。

日志文件的问题是不是任何人都应该能够下载它。只有少数人应该能够访问这些日志。如果系统上有帐户的任何人都可以访问此日志文件，则文件权限设置太丢失（世界可读）。

在公司环境中，日志文件不应存储在本地，而应传输到系统日志服务器。受限用户应有权访问此系统日志服务器。

此外，审计系统（日志也应该写入系统日志服务器）应该记录访问这些文件的任何人以进行跟踪。

包括未经身份验证的访问者在内的每个人都可以下载日志文件。

如果真是这样，这是一个重大的设计缺陷。我不会太担心泄露用户名（如上所述），而是担心这一点。日志文件不应该（直接）通过互联网访问，尤其是未经身份验证的用户。

泄露 PC 帐户用户名不好吗？

在我看来，只要有强密码策略，在操作系统上暴露用户名不一定是坏事。这意味着至少有十二个字符，使用大小写字符、特殊字符和数字。此外，如果从特定 IP 地址进行 X 次失败尝试（例如，将 IP 阻塞 Y 时间），此策略还应触发操作

我在这里看到的另一个更紧迫的问题是我们称之为“内部路径披露”的问题。如果 Web 应用程序也暴露在 Internet 中，则将内部路径暴露给攻击者可能与其他类型的攻击（例如本地文件包含或SQL 注入）相结合非常有用。

不好吗？是的。- 但这取决于具体情况。

您应该尽可能少地公开提供个人信息，并且应该隐藏这些数据。

场景 1：

如果该用户名在多个位置使用并且是唯一的，那么问题就开始了。假设您在一个被破坏的论坛上并且用户名/密码被泄露，有人可以搜索该用户名并找到您的密码。如果您在其他公共平台上使用与大多数人相同的密码，则有可能以这种方式被黑客入侵。

场景 2：

如果您在一家公司工作并且他们提供了您的 PC 用户名作为 name.surname，那么在论坛上发布该数据将提供有关您的个人信息并让其他人发现您在哪里工作、您在做什么等，有些人会感到不舒服关于那个。