问用电子邮件登录比用户名更安全？

EN

给他们一个选择。例如，我的电子邮件地址相当长，而我通常选择短用户名；您可以开发您的登录表单来接受两者。

用户名不是用来保护帐户的，密码是。在浏览器中输入用户名时，用户名并不是没有理由可见的，而密码是隐藏的。此外，用户经常重复使用用户名，与密码重复使用相比，这不应该是一个问题。当然，电子邮件地址过去和现在都不意味着不与任何人共享。

但主要的问题是:您不存储用户名或经过哈希/加密的电子邮件地址，因为您希望将它们用于登录以外的其他目的。如果有人用你的散列密码窃取数据库，他们也会有用户名和电子邮件地址。“安全利益”已经消失了！

因此，强迫用户只使用电子邮件地址(和密码)或只使用用户名(和密码)登录是没有意义的。

您的防御应该是强制使用强密码，并确保使用强大的密码哈希函数对它们进行加密。不要忘记设置成本足够高。

此外，为了防止没有窃取您的数据库的攻击者租用bot网络并强行使用弱用户密码，请限制每个IP地址每小时的登录尝试次数。此外，如果您遇到许多登录尝试的一个帐户，阻止登录尝试从任何IP地址，其中没有成功登录帐户在过去已经做过。

与电子邮件相比，拥有用户名提供了更多的模糊性，而电子邮件提供了安全性，因为强人需要用户名才能执行攻击。

电子邮件不像电子邮件那样晦涩难懂。用户可以使用他们的电子邮件在每一个其他帐户注册，订阅通讯，甚至张贴在某个地方，让人联系你。如果黑客做了一些调查，或者认识你，并通过社交工程获得了你的电子邮件地址，他们就会有更高的机会进行暴力攻击或猜测密码。

用户名以这种方式实现了更多的安全性，因为现在黑客需要知道您的用户名和密码才能进行攻击。用合法的理由获得一个人的电子邮件地址要比获得一个人的用户名容易。如果您有“将用户名添加到朋友列表”之类的功能，则可以通过成员ID实现add，并且它不用于登录。

电子邮件地址为用户提供了方便，因为他们需要记住一件较小的事情，因为我们大多数拥有和使用电子邮件的人都会记住他们的电子邮件地址。安全和方便总是彼此之间的一种交换。

还请注意，为了保持用户名的模糊性，请确保在失败登录时不要返回类似于“用户名不存在”的消息。返回类似“失败登录:请检查您的用户名/密码”之类的内容

大多数银行我知道他们不使用电子邮件地址进行认证，他们更喜欢用户名，因为它提供更多的默默无闻。在这种情况下，您可以将用户名视为另一种形式的“密码”，只是因为它不是加密的，所以它是一个不太安全的密码，并且可以通过查看屏幕来查看其他人的明文。

有一个秘密的用户名或类似的东西是没有什么好处的。只要您执行适当的密码策略，暴力攻击将是无效的，无论用户名是否公开。如果攻击者以某种方式截获密码，通过键盘记录器或数据包嗅探，他也可以拦截秘密用户名。

这个问题在可用性方面考虑得更好。您希望您的用户记住电子邮件地址、昵称、秘密登录名和密码吗？保持简单。