强制阿尔法-数字用户ID

Question

我是一家金融学院的程序员。最近我被告知要强制所有新用户id至少有一个alpha和一个数字。我立即认为这是一个可怕的想法，我宁愿不实施它，因为我相信这是一个反功能和糟糕的用户体验。问题是，我没有很好的理由不实现这个需求。

你觉得这是个好要求吗？

你有什么理由不这么做吗？

你知道有什么我可以参考的研究结果吗。

编辑:就密码而言，这是而不是。我们对此已有类似的要求，我不反对。

Answer 1

反对这一观点的一个论点是，其他领域中的许多用户名/ in不需要数字组件。更有可能的是，用户将能够更好地记住他们在其他地方使用过的用户It-如果他们不需要包含数字，那就更有可能了。

此外，根据系统的不同，在连接到外部系统时，用户ids可以正常工作(ssh在类似unix的系统中是这样的)。在这种情况下，在系统之间共享一个ID显然是有益的。

在多个地方使用相同的ID可以提高一致性，这是优秀软件接口的一个众所周知的方面。不难证明，人们与系统交互的方式是用户界面，并且应该遵守(至少是一些)众所周知的界面准则。(显然，如果考虑到多个系统(可能是未知系统)之间的交互，像键盘快捷方式这样的想法是毫无意义的，但一致性等方面确实适用。)

编辑:我假设这次讨论是关于用户名或公开可见的is，而不是与安全直接相关的东西，比如密码。

Answer 2

首先，我要问他们这背后的具体原因。一旦你列出了要点和理由，就更容易反驳或提供替代方案。

至于一般的想法：

• 这是一种观点，但在用户名中添加一个数字并不一定会增加安全性。人们在贴子上写下用户名，大多数用户只会在用户名的开头或结尾加上一个'1‘，这样就很容易猜到了。
• 从可用性的角度来看，这是坏的，因为它打破了规范。强迫他们在其用户名中添加一个数字只会导致上述问题。他们只需在用户名的末尾或开头添加一个'1‘。

请记住，身份验证系统越复杂，一般用户就越有可能找到绕过它的方法，并使链中的链接变得脆弱。

Answer 3

用户？要求密码是字母数字通常是一个好主意，因为它使他们更抵抗字典攻击。这对用户名没有任何意义。拥有一个名称/密码组合的全部意义是，名称部分不需要保密。