Если пароль генерируется пользователем, то почти наверняка да, если вы вообще обеспокоены безопасностью учетной записи.При таком выборе пользователи гораздо чаще выбирают свое имя пользователя в качестве пароля, чем случайный пароль, и, следовательно, один из первых паролей, который злоумышленник собирается использовать.(То же самое относится и к паролям типа password 123456, abc123 и т. Д.)
Это относится к понятию min-entropy .По сути, если злоумышленник хочет угадать один пароль и ему все равно, какой пароль, минимальная энтропия - это ожидаемое количество попыток.(Это немного отличается от стандартной энтропии паролей, которая заключается в следующем: если злоумышленник хочет атаковать учетные данные , каково ожидаемое количество попыток?) Если разрешены очень простые пароли, минимальноезначение энтропии будет меньше, чем без правил сложности.
Если пароль генерируется случайным образом, незначительное запрещение имени пользователя уменьшает энтропию учетных данных, поскольку уменьшает числодопустимые комбинации паролей.Однако на практике злоумышленник, скорее всего, сначала попытается использовать общие пароли, поэтому обнаружение и ограничение общих паролей, вероятно, является хорошей практикой.