Parece que el consenso actual es que autocomplete="off" es malo para los campos de entrada de contraseña:
¿Pero eso incluye el campo de nombre de usuario? Simplemente me parece que estos vienen en pareja.
Para aclarar, estoy preguntando si autocomplete="off" es malo para los campos de entrada del nombre de usuario?
el autocompletar desactivado es para información confidencial, por ejemplo, números de tarjetas de crédito. La excepción es el tipo de entrada password , porque los navegadores modernos no almacenan la entrada para ese tipo, y deshabilitan los problemas de autocompletado con los administradores de contraseñas, lo que reduce la seguridad.
Los nombres de usuario no son información confidencial , aunque todavía hay buenas razones para ello para transmitir todos los nombres de usuario de sus usuarios, por ejemplo, a través de la enumeración del nombre de usuario, si puede evitarlo (forzar el uso de la fuerza bruta o el phishing).
Pero en el caso de autocompletar, un atacante no puede recopilar todos o incluso una gran cantidad de nombres de usuario, sino solo los nombres de usuarios donde tienen acceso físico a la computadora o si existe una vulnerabilidad XSS.
El único efecto negativo puede ser la violación de la privacidad a través de nombres de usuario o direcciones de correo electrónico filtrados (si se usan en lugar de nombres de usuario). Pero si un usuario está preocupado por la privacidad en una computadora compartida, debe usar la navegación privada.
Debido a esto, es muy difícil argumentar que existe incluso un ligero beneficio de seguridad para el autocompletado desactivado para los nombres de usuario. Sin embargo, hay un impacto real en la usabilidad, por lo que recomendaría en contra.
Lea otras preguntas en las etiquetas html