Hay varios formularios de inicio de sesión (por ejemplo, Google) en Internet donde primero ingresa su nombre de inicio de sesión y luego, una vez que se envía, puede ingresar su contraseña.
Una de las ventajas de esto es, supongo, que el servidor puede recuperar una imagen que solo conoce y mostrarla al usuario para ayudar a evitar esquemas de phishing simples.
Mi pregunta es por qué nadie lo hace al revés: primero pida una contraseña y luego el nombre de inicio de sesión.
Puedo ver la respuesta obvia (que la contraseña podría no ser única y, por lo tanto, el servidor no sabría a quién se deben mostrar las imágenes contra el phishing), pero eso no me convence. Desactivar de inmediato las cuentas que comparten contraseñas o al menos obligar a los usuarios a cambiar sus contraseñas a una cadena única la próxima vez que inicien sesión puede ser una forma de evitarlo y, como consecuencia, resolvería el fenómeno de la contraseña "123456".
Otro problema que puedo ver es que en un escenario de phishing en el que un usuario ingresa su contraseña correctamente y luego se da cuenta de que se le muestran las imágenes incorrectas, ya ha dejado su contraseña y todo lo que queda para el phisher es identificar a quién pertenece esta contraseña.
Lo que me gustaría saber es si la secuencia de inicio de sesión y contraseña se debe principalmente a consideraciones de convención o interfaz de usuario o si existen otros problemas de seguridad al revertir la secuencia para solicitar la contraseña primero (además de las dos I he mencionado).