En muchas aplicaciones, cuando comete un error en su nombre de usuario o contraseña, obtiene un error no específico que indica que el nombre de usuario ingresado no existe o la contraseña es incorrecto para ese nombre de usuario.Nombre de usuario no encontrado o mensaje de error de contraseña incorrecta demasiado vago
I (ingenuamente) esperaría que la aplicación especifique que ocurrió uno de los dos errores. ¿Hay alguna razón para no diferenciar entre ellos? Supongo que haría más difícil para un atacante adivinar una combinación correcta de nombre de usuario/contraseña, pero ¿hay alguna literatura, investigación o similar que respalde esta suposición?
Pero la información sobre qué nombres de usuario existen a menudo se puede obtener mediante la creación de nuevas cuentas. –