登录凭据:为什么不删除用户名?

时间:2015-03-28 11:53:53

标签: security web login credentials usability

当我想到一个想法时,我正准备写出我的第100个登录表单:为什么我需要用户名?

前一段时间,我父亲不得不改变他的电子邮件地址,他仍然没有弄明白,为什么他不能用他的新地址登录各个网站。 我也不是个人每站点用户名的忠实粉丝。并且仅仅记住密码会更容易吗?

什么是用户名有用?你显然需要一些唯一的字符串来识别用户。如果你只有密码,那么在用户选择一个密码之前就可以使用,你必须告诉他“对不起,' GreatPassword123'已经属于另一个用户“ - 糟糕的主意。

因此,部分密码必须是唯一的。我的想法:预先确定前三个字符!您可以选择小写和大写字母和数字,提供(26 + 26 + 10)^ 3 = 373,248个唯一前缀。在注册时,用户会得到一个对话框,告诉他他只需要一个密码,并以“N0i”开头,例如,他必须选择其余的(“deaWhy”浮现在脑海中)。然后他只能用他的密码登录,是“N0ideaWhy”,不知道(或关心)“N0i”实际上是一个唯一的用户名。

我看到以下优点和缺点:

赞成

  • 独立于电子邮件地址
  • 用户只需要记住一个字符串
  • 可能会减少密码重用
  • 免于泄露名单
  • 通过更少的击键更快登录

缺点

  • 需要拆分密码字符串,并在散列其余部分时提交未加密的前三个字符
  • 可扩展性在373,248位用户处于停滞状态(如果使用四个字符,则为2680万)
  • 用户可能会因无法重复使用标准密码而持怀疑态度/缺乏经验/被抛弃

我真的想知道为什么其他人到目前为止没有这样做过?有没有我错过的担忧?

1 个答案:

答案 0 :(得分:0)

通过添加三个随机字符,您在密码和用户之间创建了一个链接,换句话说就是登录。除了你提到的元素之外,这个登录还有其他问题:

  • 更难记住(xhkr vs john.doe@example.com
  • 即使您想要
    • ,它也不能在您的服务中独一无二
  • 您无论如何都需要请求电子邮件才能重置密码

您正在寻找的内容已经通过社交登录实现:

enter image description here

我们的想法是使用独立服务来处理您的身份验证。如果每个服务所有者都同意,那么您最终将获得统一登录。它提出了几个问题(锁定,提供商的黑客攻击,个人数据传播),但这与我们提出的关于集中身份验证(祖父是OpenID)最接近:你只需要保留一个服务(或者有限的几个。)

相关问题
最新问题