Non so perché ci autenticiamo chiedendo all'utente di inserire sia nome utente che password. Nel mio modello mentale, la richiesta di password è sufficiente.
Il motivo è il seguente:
Supponiamo che ci siano x caratteri validi da usare.
Caso 1 (richiesta di nome utente e password)
Lascia che la lunghezza di username e password sia n/2
caratteri ciascuno.
Poiché il nome utente è esposto al pubblico, la probabilità di successo di infrangere la password è superiore a x ^ (n / 2).
Caso 2 (solo password di richiesta)
Lascia che la lunghezza della password sia n caratteri. La probabilità di successo di infrangere la password è superiore a x ^ n.
Perché effettuiamo l'autenticazione chiedendo a un utente di inserire sia nome utente che password? La richiesta di password è sufficiente?
Modifica 1
Per il caso 1: il nome utente è unico.
Per il caso 2: la password è unica.