坦率地说，我觉得这样的限制很愚蠢。任何声称用户名的最小长度具有任何安全优点的说法都是荒谬的。用户名应该是公开的，它们不是秘密信息（在绝大多数情况下）。在将用户名用作通信句柄并鼓励您分享您的用户名的系统中，这更加愚蠢。

一些服务提供商认为，较长的用户名可以更好地打击针对自动生成的电子邮件地址的垃圾邮件。这是谷歌对此的看法

我们发现，热门域中的短用户名会收到更多的垃圾邮件，因为它们很容易自动生成。Gmail 要求所有用户名的长度至少为六个字符，旨在防止垃圾邮件进入您的收件箱。

我同意拥有更长或更短的用户名不应成为使您的帐户或多或少安全的关键。这就是密码或任何其他身份证明应该做的事情。用户名只是一种称呼你的方式，它是完全公开的。

唯一的要求是它是明确的 - 你不能让两个人使用相同的用户名。

我会说，以某个最小限制开始所需字符的数量可能是有价值的，作为解决非常短且非常容易记住的用户名的争用的一种方式。强制每个人使用至少 6 个字符是一种很好的方法，可以防止用户尝试设置他们的用户名，以免在所有可能的 < 6 个字符选项中翻来覆去，却发现所有选项都已被使用。在像谷歌这样的大型系统上，减少沮丧的用户是一件大事——这也是为什么您会看到建议的用户名来帮助您尝试找到可以使用的东西的原因。

当他们说垃圾邮件是短用户名的问题时，我会相信他们 - 地址空间越小，越容易覆盖，我不会惊讶地发现垃圾邮件发送者可以非常有效地覆盖 < 6 个字符的用户名空间. 我不确定我是否相信“这是为了你自己好”这句话——我认为这是为了 Google 自己好。如果他们可以简单地拒绝所有输入少于 6 个字符的用户名的电子邮件，那么这是一个很好的流量块，可以在不需要进一步匹配的情况下完全拒绝。您的垃圾邮件过滤器越聪明，它们可以执行的资源就越多，因此能够完全拒绝您的用户名空间的任何部分必须是一个胜利。

我同意在小型用户群中——比如私人域或小公司——它的价值可能较低，因为您既没有大型用户群，也没有社交网站的大量流量/存储需求。

好吧，第一件事。。

正如我们从基本安全理论中知道的那样，破解密码的最常见方法是使用所有可能的条目（暴力破解）。密码的强度由其包含的字符的复杂性计算得出。因此，假设所有的字母数字都是 62，那么针对 6 长密码（没有特殊字符）的暴力攻击的复杂度将是 62^6= 56,800,235,584 种可能的组合。

现在对于邮件站点，如 gmail 或 hotmail，创建少于 6 个字符的邮件很可能由垃圾邮件算法生成。因此，为避免收到垃圾邮件，电子邮件站点会提示您使用 5 个以上的字符。

最后，我的猜测是，在一个普通站点上，用户可以使用 5 个或更少字符长的用户名，但在一个有很多用户的站点上，要找到一个不存在的用户名是非常困难的。