la chiave primaria è unica, se hai settato lo username con indice UNIQUE è anch'esso unico, quindi la velocità è più o meno identica (ID forse è un filino più veloce perché occupa meno spazio), comunque il tuo dubbio sul fatto che passando l'ID comprometta in qualche modo la sicurezza rispetto al passaggio dello username è privo di fondamento. Entrambi, ID e username, individuano lo stesso record, non vedo cosa cambi.