Это эффективный пароль ... за исключением ожидания его имени пользователя и пароля в одном поле.
Не существует технической причины как таковой, почему вы не должны объединять имя пользователя и пароль в одно поле, но по соглашению при отсутствии дополнительных секретных ключей это два поля.
Это по трем деловым причинам:
Идентификация учетной записи может быть однозначно обсуждена между людьми, которые должны знать личность пользователя (имя пользователя ?!), но не иметь пароль
По закону проще всего доказать несанкционированный доступ, если это когда-либо понадобится, если протокол доступа является общепринятым, потому что тогда более вероятно применение прецедентного права, а ситуация с большей вероятностью будет четкой (и привести к меньшим законным счетам!). Отсутствие имени пользователя в публичной сети для коммерческой системы не является неслыханным делом, и в некоторых системах это хорошая идея (но, как правило, это просто не ... хорошая идея).
Рекомендации по передовой практике в области безопасности в целом и конкретных процессов предполагают, что вы, по возможности, используете имя пользователя и пароль, а не комбинированное поле. Это может затруднить разработку консенсусной политики в будущем.
Пароль (или часть пароля, если вы используете комбинированную строку имени пользователя / пароля) будет зависеть от всех обычных рекомендаций по безопасности, касающихся политики изменения, неразглашения, сложности и длины. Я предлагаю вам также использовать SSL и WS-Security, чтобы быть как можно более обычным в области безопасности. Возможно, вам нужно шифрование по проводам.
EDIT
Я хотел написать TLS, а не SSL.
EDIT
Извините, нет, я имел в виду TLS или WS-Security.