Przeszukałem całą sieć i tę witrynę, aby znaleźć więcej informacji na temat bezpieczeństwa, ale niczego nie znalazłem. W moim konkretnym przypadku produktem jest witryna internetowa, ale myślę, że to pytanie dotyczy każdego oprogramowania obsługującego dużą liczbę użytkowników.
Wiem, że istnieje wiele witryn internetowych, które umożliwiają zmianę nazwy użytkownika , ale jednocześnie jest wielu, którzy na to nie pozwalają. Jestem pewien, że niektóre, które na to nie pozwalają, mogą być tylko dla uproszczenia, ale być może także dla bezpieczeństwa.
Moje pytanie jest takie, jak w tytule:
Od z punktu widzenia bezpieczeństwa, czy powiedziałbyś, że zezwalanie osobom na zmianę nazwy użytkownika jest dobrą lub złą praktyką?
Obecnie nie mogę wymyślić żadnego powodu, aby na to nie zezwolić, biorąc pod uwagę, że jest to zrobione prawidłowo ( tzn. uniemożliwić zduplikowane nazwy użytkownika, wymagaj wprowadzenia aktualnego hasła, aby upewnić się, że wymagania dotyczące hasła są nadal spełnione w zakresie braku nazwy użytkownika itp.), ale nie mogę pomóc, ale myślę, że czegoś mi brakuje.
Wiem, że z punktu widzenia użytkownika są zalety umożliwiające zmianę nazwy użytkownika. Przykładem może być ustawienie nazwy użytkownika na adres e-mail i późniejsza decyzja o użyciu innego adresu e-mail. Zamiast tego jestem ciekawy korzyści i zagrożeń związanych z bezpieczeństwem aplikacji i procesu logowania, jeśli pozwolisz im zmienić nazwę użytkownika.
EDYTUJ:
Niektóre odpowiedzi podnoszą dobre punkty dotyczące nazw wyświetlanych publicznie, ale aby wyjaśnić, pytanie nie dotyczy żadnej publicznej nazwy wyświetlanej, ale unikalną nazwę użytkownika używaną do logowania.