我使用的所有银行都要求我制作用户 ID。我相信拥有颁发的 ID 会更好的安全性，但从业务角度来看，您只会让用户感到非常不愉快。

我认为将信用卡号分配为 ID 是不现实的，因为用户可以在同一家银行拥有多张信用卡或账户，而且银行也不想让用户感到困难。我们也不要忘记，每个人都将被迫拥有很长的用户名！

此外，您可能会认为您的信用卡号码也是您想要保密的东西，但将其作为 ID 可能会损害安全性。想象一下某人很懒并且打字很慢的场景（也许也没有小键盘）。因此，此人决定将他/她的信用卡号码留在某处，并在访问银行网站时将其复制粘贴。好吧，如果他/她不记得将其他内容复制到剪贴板，那么这个人完全有可能不小心将其发布到其他地方。

总而言之，这似乎是一个失败的局面

如果用户可以选择他们的用户 ID，那么新用户的注册过程将泄露用户 ID 是否已在银行使用。当新用户选择现有用户 ID 时，银行必须披露该 ID 已被使用并要求用户选择另一个。

泄露系统中现有的用户 ID 被认为是一种不好的做法，这就是为什么安全身份验证程序注意不要泄露这些信息的原因。最明显的例子是输入错误的用户名/密码时收到的一般错误消息：“无效的用户名或密码”，而不是更用户友好的方法“用户名错误”时“用户名无效”和“密码无效”时用户名存在，但密码错误。您经常会遇到采用正确身份验证方法的网站，但仍会在其注册过程中泄露用户 ID。

泄漏的规模会因注册程序而异。如果注册过程是在线的，您可能能够自动测试用户 ID 以查看哪些正在使用或未使用。这取决于他们如何实际实施它，银行可以例如使用验证码来限制此类攻击的成功。

因此，我建议使用银行发行的 ID，或者重新使用现有的唯一 ID，例如国民身份证号（NIN，世界各地的唯一性/适用性各不相同）。

在挪威，我们有独特的 NIN，无论如何银行都必须拥有它们，因此它们非常适合作为用户 ID。

当提到用户 ID 时，我看到信用卡号。自从我围绕 PCI 做任何工作以来已经有一段时间了，但是 AFAIK 会为身份验证过程引发一堆 PCI 问题，所以我不建议这样做。

在网上银行方面，让用户制作 ID 并没有太多优点或缺点。我想出的唯一事情如下 -

好处 -

易于记住的登录信息。这意味着如果我没有随身携带信用卡并且我没有记住它的号码，那么我仍然可以登录我的帐户。

增加了一层保护。我的意思是，如果有人拿到我的信用卡，他们还不知道我的用户名。游戏社区已经开始采用这种“双用户名”系统。这意味着您在游戏中的名字不是您登录的用户名。这可以防止人们已经拥有两个答案之一。

散列（如果我在这里错了，请纠正我，我很可能是）。当您散列密码时，您还想用一些东西“加盐”它。如果获得哈希，这使得对哈希进行任何操作变得更加困难。

管理。假设你有一个孩子，他的名字叫乔。好吧，你得到了乔他自己的信用卡，它附在你的信用卡上，而不需要知道他的密码来跟上他的步伐，你可以发现他正在购买啤酒和香烟，而无需向他询问密码。您还可以控制他这个月可以花多少钱等等。这也适用于公司。

缺点 -

人们可能会忘记他们的用户名。（尽管您仍然可以通过其他方式对其进行身份验证）

用户名没有那么长。让用户选择自己命名可能会导致问题，因为他们不会选择像信用卡号一样长且随机的名称。（但是攻击者知道信用卡号都是数字，因为用户名可以包含字母和数字，所以这是悬而未决的）

这就是我现在能想到的。如果有人有自己的，请随时添加。（我个人不喜欢这种格式，但我似乎无法正确处理）

我认为这是银行的一个相对武断的决定，它更多地取决于他们销售的产品而不是其他任何东西。

他们提供的产品越多，您就越有可能选择通用登录 ID，因为客户可能根本没有卡。大多数都会让您使用卡号登录。