it-swarm.dev

Nome utente lungo 3 o 4 caratteri dal punto di vista della sicurezza

Sul mio sito ho la possibilità per l'utente di scegliere il suo nome utente che sia lungo 4-20 caratteri.

Ma alcuni utenti potrebbero avere nomi come "Amy" "Eva", "Ian" ecc.

Devo attenermi a 4 lettere o andare a 3 lettere?

Ci sono degli svantaggi dal punto di vista della sicurezza?

Sto usando trim e xss filt. su ogni input dell'utente e le parole come admin ecc. sono limitate nel mio metodo di callback.

È sicuro andare a 3 da 4 lettere?

7
user13779

Non c'è differenza dal punto di vista della sicurezza: la forza dell'autenticazione dovrebbe provenire dalla password, non dal nome utente.

Tuttavia, non metterei un minimo di 3 caratteri su un nome utente. Nella sola Cina, ci sono oltre 700.000 persone con il nome Na o Li, e ci sono molti più nomi con un personaggio e due caratteri. Aggiungilo al fatto che i nomi non devono nemmeno essere fatti di ASCII , e sei riscontro di problemi. Certo, puoi probabilmente applicare ASCII per i tuoi scopi, poiché la maggior parte dei nomi composti da caratteri non romani possono essere rappresentati in qualche modo con l'alfabeto AZ standard.

Consiglio vivamente di leggere Falsehoods Programmers Believe About Names e assorbire i fatti folli al suo interno. Puoi ragionevolmente sicuro ignorare alcuni dei problemi più esoterici (ad esempio i nomi Klingon) ma essere consapevole che ci sono persone i cui nomi non si adattano a nessuno modello standard che puoi trovare.

16
Polynomial