Gli ID utente non sono nominalmente valori segreti; è per questo che li chiamiamo "ID utente" e non "password", e perché le interfacce grafiche per inserirli non nascondono i caratteri ". Tuttavia, i creativi talvolta immaginano che l'ID utente sia una sorta di segreto, che porta a situazioni come ciò a cui sei testimone: un sito che cerca di applicare all'ID utente alcune "regole di complessità" normalmente applicate alle password.
In pratica, l'ID utente scelto dagli utenti non è molto segreto, perché:
-
Interfacce e protocolli possono perdere l'ID utente in vari punti.
-
Gli utenti non li considerano segreti e quindi non cercheranno di renderli inconcepibili.
-
Anche quando gli utenti cercano di rendere le cose difficili da indovinare (password), di solito falliscono.
Tuttavia, la mancanza di razionalità non ha mai impedito a qualsiasi sviluppatore entusiasta di aggiungere funzionalità.
Probabilmente, l'insistenza sull'inclusione di "caratteri speciali" nelle stringhe non è dimostrata per rendere queste stringhe più difficili da indovinare. Tali cosiddette regole di complessità hanno lo scopo di costringere gli utenti a uscire dalla loro zona di comfort (funziona: gli utenti sono molto meno felici), sotto l'ipotesi piuttosto speciosa che un utente irato o depresso in qualche modo scelga password più difficili da indovinare.