Ok, lo primero es lo primero ..
Como sabemos por la teoría de la seguridad básica, la forma más común de descifrar una contraseña es mediante el uso de todas las entradas posibles (fuerza bruta). La fuerza de una contraseña se calcula por la complejidad de los caracteres que contiene. Suponiendo que todos los alfanuméricos sean 62, la complejidad de un ataque de fuerza bruta para una contraseña de 6 longitud (sin caracteres especiales) sería 62 ^ 6 = 56,800,235,584 combinaciones posibles.
Ahora, para un sitio de correo, como gmail o hotmail, es muy posible que se genere un correo con menos de 6 caracteres mediante un algoritmo de correo no deseado. Por lo tanto, para evitar el envío de correo no deseado, los sitios de correo electrónico le piden que utilice más de 5 caracteres.
Finalmente, supongo que, en un sitio común, un usuario podría usar un nombre de usuario de 5 caracteres o menos, pero en un sitio con muchos usuarios, sería extremadamente difícil encontrar un nombre de usuario que no exista.