Tengo en mi sitio la posibilidad de que el usuario elija su nombre de usuario de 4 a 20 caracteres.
Pero algunos usuarios podrían tener nombres como "Amy", "Eva", "Ian", etc.
¿Debo seguir con 4 letras o ir a 3 letras?
¿Hay alguna desventaja desde el punto de vista de la seguridad?
Estoy usando trim y xss filt. en cada entrada de usuario y las palabras como admin, etc. están restringidas en mi método de devolución de llamada.
¿Es seguro ir a 3 de 4 letras?
No hay diferencia desde una perspectiva de seguridad: la fortaleza de la autenticación debe provenir de la contraseña, no del nombre de usuario.
Sin embargo, no pondría un mínimo de 3 caracteres en un nombre de usuario. Solo en China, hay más de 700,000 personas con el nombre de pila Na o Li, y hay muchos más nombres de uno y dos caracteres. Agregue eso al hecho de que los nombres ni siquiera tienen que estar hechos de letras ASCII , y tiene problemas. Por supuesto, probablemente pueda aplicar ASCII para sus propósitos, ya que la mayoría de los nombres que consisten en caracteres no romanos pueden representarse con el alfabeto A-Z estándar de alguna manera.
Le recomiendo que lea Falsehoods Los programadores creen en los nombres y absorber los hechos locos dentro de ella. Puede razonablemente de forma segura ignorar algunos de los problemas más esotéricos (por ejemplo, nombres Klingon) pero tenga en cuenta que hay personas cuyos nombres no encajan con ningún modelo estándar único que pueda encontrar.
Lea otras preguntas en las etiquetas authentication