在我决定使用用户名登录系统后,我担心人们总是可以知道哪些用户名已被注册。 我在登录表单中使用用户名,因此它们仍然必须是唯一的,但我可以避免/减少人们知道哪些用户名正在使用的风险吗?如何保持用户名密码
当他们知道一半的查询时,它将使bruteforcing帐户更容易。
在我当前的系统上,当用户尝试使用已经在使用的用户名进行注册时,他们会收到一条错误消息,告诉他们该用户名已存在。
我不希望为新帐户使用电子邮件验证。
我的担心只是暴力。这是我需要的答案。 我已经强制通过正则表达式强密码,所以主要问题是: 我是否必须强制随机生成的用户名,以获得更好的安全性和保护我的用户的隐私?
我正在使用PHP 7和PDO。
你到底如何告诉人们选择不同的用户名? “哎呀,对不起,这是行不通的”,无缘无故地让你的系统显得很愚蠢。如果您担心暴力攻击,那么您的登录系统应该能够检测到企图并将其锁定。这与揭示用户名的存在无关。 –
因此,您希望用户选择用户名,但在存在时得到通知,但不让他知道它存在?没有意义。出于安全原因,密码被发明出来。如果你仍然想要秘密唯一的用户名,你将不得不生成它们,而不是让用户选择它们。 –
@Dagon这将是如此,直到第一次尝试注册(测量)它:) –