Un aspecto está bien descrito por @AJHenderson e involucra un esquema de verificación de restablecimiento de contraseña potencialmente inseguro, si la computadora del usuario final fue comprometida por un registrador clave.
Otro es señalado por @Zaffy y se refiere al uso de uno de los valores publicados para la verificación. Le agregaría que estos cambios generalmente son provocados por cambios en el EULA / TOS de los sitios web y, de ser así, podría encontrar su respuesta allí. ¿Han cambiado sus términos de servicio últimamente? ¿O tal vez el proveedor de servicios deseaba que sus miembros pudieran publicar sus direcciones de correo electrónico a otros miembros, si así lo deciden? En cualquier caso, si la dirección de correo electrónico se vuelve repentinamente visible para otros miembros, ese es un caso claro para reforzar la seguridad de inicio de sesión mediante el uso de datos de usuarios no divulgados.
Pero posiblemente también haya otro motivo relacionado con la seguridad para no incluir las direcciones de correo electrónico de los usuarios. Si el proceso de inicio de sesión de alguna manera revela cuál de los dos campos obligatorios no coincide con ningún registro en la base de datos de usuarios registrados (por un mensaje de error distinto, al eliminar valores de campo ingresados de manera no válida, ...). Es decir, si un proceso de inicio de sesión fue demasiado fácil para el usuario con sus respuestas, un atacante podría obtener información fácilmente, ya sea que una determinada dirección de correo electrónico esté registrada en el sitio web en cuestión. Lo que a su vez podría invalidar el EULA / TOS que resuelva cualquier inquietud de privacidad. Si bien se ha implementado dicha 'facilidad de uso' , la seguridad por sí sola está disminuyendo en gran medida, muchos desarrolladores web aún no han descubierto este sitio web, por lo que saben mejor.
Otra razón, aunque menos estrictamente relacionada con la seguridad, por la cual los desarrolladores decidieron cambiar el proceso de inicio de sesión, también podría estar planeando expandir su negocio a terceros y al EULA / TOS con el que estaba de acuerdo al registrarse. no cubrió la divulgación de su dirección de correo electrónico a estos terceros. De esta manera, podrían evitar invalidar su propio EULA / TOS y seguir ofreciendo servicios de terceros a una base de usuarios ya existente, identificando a los usuarios de la red por datos no privados.
Sin embargo, tiene razón al dudar de que haya beneficios de seguridad, como se anuncia en esta página SWTOR . Parece bastante extraño cómo pueden reclamar una mayor protección contra posibles tomas de cuenta, cuando un atacante ahora estaría solo a una contraseña para iniciar sesión con éxito como otro usuario, mientras que antes de que el nombre de usuario y la contraseña se agregaran a la entropía de todo el proceso . Ciertamente curioso. Por otra parte, no soy un jugador de SWTOR, lo cual es bastante curioso por sí mismo :)