<div dir="ltr"><div>Often the network ID matches the employee's email address, e.g. network ID is ybaker and email is ybaker@company.tld.  Since employees share their first name, last name, and email address with external parties by virtue of sending email (and in other ways, such as LinkedIn), and since most companies adopt a standard method for creating the network ID, it wouldn't be hard for an external attacker to scour LinkedIn for employees and guess their network ID and email address.</div><div><br></div><div>Would a list help them?  With phishing yes, with brute forcing, not so much.  An attacker is not going to brute force the entire company directory all at once, so the attacker only needs five to ten network IDs, and a means to try credentials that has poor velocity controls.</div><div><br></div><div>As far as sensitivity to the data, I wouldn't consider it sensitive unless the network ID is something random for each employee, separate from their email address and is kept secret.  But the company would be far better off having known network IDs and instead employ 2FA for all logins.</div><div><br></div><div><br></div><div>- Bil</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 9, 2017 at 7:53 AM, Yolanda Baker <span dir="ltr"><<a href="mailto:yolybaker@gmail.com" target="_blank">yolybaker@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I am formulating a test Q& A and need your expert opinion:  If an actor obtained a file containing first, last name, and network ID, would this be considered easy for brute force password cracking? <div>Would you consider these combinations of fields sensitive corporate information requiring network ID to be masked from developers and third parties?</div><div>Thanks for your reply,</div><div>Yolanda Bsker</div><span class="HOEnZb"><font color="#888888"><div><br></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature">Sent from Gmail Mobile</div>
</font></span><br>______________________________<wbr>_________________<br>
Owasp-community mailing list<br>
<a href="mailto:Owasp-community@lists.owasp.org">Owasp-community@lists.owasp.<wbr>org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-community" target="_blank" rel="noreferrer">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-<wbr>community</a><br>
<br></blockquote></div><br></div>