登录的时候为什么基本都需要用户名？

干嘛非得是字符串密码，用指纹识别就能达到LZ的废除用户名的目的

Gmail 就是这么做的，但是有条件限制

公匙私匙

@int64ago 你说的这种系统随机生成的 “密码” 叫 token，两边都是机器的地方有的就是用 token 验证身份的。不过，现在密码主要还是给人用的，人要能自己设置密码，那就必须得有用户名这个东西了。

随便注册个号 找出你密码命名规则 然后暴力破解 随随便便几百万个帐号到手

LZ 说的这种情况技术上有可能，但是密码显然不能让用户自己输了。

128 位的随机生成的 Key 就可以了。

密码是用来验证用户的，不能用来定位用户的，根本没办法的啊。另外一个输入框的情景，你怎么分割用户名和密码？

这已经不是密码 而是像cookie了 你这和直接保存cookie有啥区别？

各种充值卡就是嘛..

要用户设置密码也成，想个办法计算「密码相似度」，禁止两个用户使用过于相似的密码

比如说规定密码最少 16 位
定义前 8 位相同的密码为「相似」
（实现上，可以前 8 位与其余密码分开储存
这就等效于 8 位用户名 + 8 位及以上密码的常规方案了，至少没有安全问题

你也可以刷脸啊

@xierch 不需要知道用户名就可以随便试密码，还没有安全问题？

另外你这个方案分开存储的话和用户名有什么区别？就是为了把两个输入框合并而把问题复杂化？

哦我想了一下，好像也不太对 233
限制前 X 位密码不能相同，反而降低了安全性（可以分段试密码了）
唯一的好处就是解决了如何加 salt hash 的问题

与其说免用户名登陆不如说是免密码登陆。
主要问题是是否能解决用户输入的问题。
当前基本的输入方案还是键盘，自定义用户名密码便于记忆，输入。
如果没有可以解决键盘是基本输入的成熟方案，基本上也不存在挑战当前用户名\密码体系的可能。
至于lastpass/keepass之类只是解决了记忆的问题，并没有解决输入方式的问题。

生物验证可能是一个方向，但是我觉得太长远了才能普及到方方面面。

更倾向于通过统一标准认证，比如browse-userid，假设基于所有浏览器都支持一个ID，这个ID基于登录用户。比如Chrome/Firefox用户通过同一个邮箱登录之后，产生相同的ID，这个ID可以提供给网站检，当然这个ID只能是用作身份识别，鉴权需要另外管理的。

@yangqi 我刚才的想法是，8 位用户名 + 8 位密码 与 16 位密码之间没有区别
甚至更安全，因为「用户名」也要试了...

不过其实不对，
8 + 8 的情况，用户会使用两套逻辑来设置用户名和密码...
如果把 16 位密码看成一个整体，很可能更容易设置出弱密码

@xierch
类似于充值卡/软件验证码之类其实是相对靠谱的。
拿windows的KEY来说，20位固定长度。
难度来说我觉得主要问题还是如果用户没有用lastpass之类的管理软件，如和完成输入。

不应该存储密码，这样也就无法知道用户的新密码是否和旧密码重复

手机注册呗，密码都不需要，登陆的时候发你一个验证码

过来支持一下。估计是用1password用出的习惯

好比：楼主有个身份证号码，还要名字干嘛？