用户名复杂性要求有什么额外的安全好处吗？

Question

我最近遇到了几个网站，它们对用户名有着复杂的要求，比如“必须有8个字符长，并且至少包含2个数字”。从安全的角度来看，这有什么真正的好处吗？

我认为，由于用户名被设计为一个标识符，而不是一个秘密，所以这是一个不必要的、烦人的策略。它让我特别恼火，因为它被看作是一种“安全”要求，它只提供了一种以牺牲方便为代价的安全假象。

Answer 1

我想不出一个有形的安全好处，除了可能更难列举用户名。一些通过默默无闻的安全实践，我认为这会有一个缺点，那就是要求您的用户必须写下他们的用户名才能记住它，这可能会使复杂用户名的目的落空。

另一方面，我不确定使用像KeePass这样的密钥存储有多普遍；某种程度上说，记住用户名是不相关的。

Answer 2

这一要求背后的理由可能是阻止用户重新使用来自另一个系统的用户名和密码。

Answer 3

我敢打赌，这一要求是为了降低用户名冲突的发生率，因为这种冲突可以触发用户支持(用户尝试他的名称，但名称已经被使用，用户不理解，电话/电子邮件给网站管理员)。然后，这个需求被称为安全需求，这样用户就可以吞下它。