我的观点：如果您的安全性设计良好，您就不需要关于用户名的策略。如果您已经完成了其余的安全权限，则无需尝试阻止攻击者猜测用户名，因为如果坏人不能猜测用户名（例如， ) 猜出相应的密码。

您可能希望对用户可以选择的用户名进行一些限制，以确保随机用户不会创建暗示您公司的某些正式职位的用户名。例如，您可能希望阻止普通用户选择类似rootoradmin或abuseorwebmaster或spamor的用户名help，只是为了防止其他用户被他们混淆。

我已经包含了几个来源，但让我们讨论这些问题。

用户名不应成为身份验证的保护措施。身份验证与识别是分开的。标识是描述个人或群体的一段数据。大多数情况下，用户名是唯一标识个人的字符序列。通常使用密码对个人进行身份验证。我可以声称我是玛格丽特·撒切尔，但如果我不能输入玛格丽特·撒切尔的密码，我就无法验证为玛格丽特·撒切尔。

除此之外，用户名可能存在一些安全问题。

可能导致身份验证系统出现不良行为的用户名。

• 用户名过长：thisisareallylongusernameintendedtocauseabufferoverflow
• 带有异常或控制字符的用户名：proc␀ess␠thisäifÄuÜc'aÖn;ü 

旨在引起混淆的用户名

• 管理员请求
• 无效的
• 有效的
• 错误
• 交通运输部
• 认证用户
• 登录：
• 密码：
• 根/\

南澳大利亚大学

1.4 一个人的用户名应该是唯一且不变的 每个人通常都应该有一个唯一的用户名，他们可以在大学的整个生活中保留该用户名。员工用户名与学生用户名不同。当员工在不同的成本中心之间移动时，他们的用户名不应更改，但相关的权限应反映其新角色的适当访问权限。

1.5 也是学生的员工将有两个用户名 员工用户名与学生用户名不同。需要能够根据一个人作为员工或学生的角色提供不同的权限。同时也是学生的员工将获得一个员工用户名/密码对和一个学生用户名/密码对。这允许工作人员在他们不在正常工作人员职位上工作时担任学生的角色。

https://web.archive.org/web/20120213072116/http://www.unisa.edu.au/ists/governanceinit/policies/others/usernames.asp

YouTube 用户名政策

不要域名抢注 - YouTube 用户名的需求量很大。作为一般规则，用户应成为 YouTube 社区的活跃成员。

http://www.google.com/support/youtube/bin/answer.py?answer=151655

这里有一些关于用户名政策和实践的很好的讨论：用户名应该保密吗？

我同意@Dw 和@this-josh 的观点，因为用户名是用于识别而不是身份验证，因此优先考虑用户便利似乎是明智的。与随机数字或字母组合相比，用户更有可能记住作为其电子邮件地址或手机号码的用户名。它们还满足唯一性的特性，尽管这也可以通过数据库中的私有标识符（例如 GUID）和作为其用户名的公共标识符来解决。

尽管取决于您对简单用户名（例如电子邮件地址或电话号码）有效公开信息的威胁模型，但需要牢记一些风险：

• 拒绝服务 - 如果用户名很容易被枚举或猜到，并且您有帐户锁定策略，这可能会导致拒绝服务攻击

• 信息泄露 - 电子邮件地址或电话号码可能被视为个人身份信息，尤其是与其他信息结合使用时。您的用户或监管机构可能不会接受这些不受保护的信息

• 密码攻击——如果用户名很容易被猜到，那么攻击者需要的信息就少了一条。可以说，如果您在计算整体身份验证熵/强度时同时使用用户名和密码长度以及复杂性，那么使用简单的用户名需要您拥有更长的密码才能获得相同的值

• 密码重复使用 - 用户可以在许多服务中重复使用他们的电子邮件地址作为用户名和通用密码。如果其中一个被破坏，那么攻击者可以比系统具有不同的用户名更快地破坏其他人。

如果这些风险太高而无法接受，那么可以说最好的用户名策略与您的密码策略相同。