Veo que casi todos los sitios web y servicios no te dirán si obtuviste mal tu nombre de usuario o contraseña pero no te diremos cuál.
La razón por la que siempre veo esto es porque le permite a un atacante averiguar qué usuarios están en el sistema, pero para casi todos los sitios web ya puedo resolver esto visitando el perfil de ese usuario que me dará una respuesta 404. o mostrar la página de usuario para ese usuario o puedo intentar registrarme mediante un correo electrónico que me dirá si ya se ha tomado una dirección de correo electrónico / nombre de usuario incluso antes de hacer clic en enviar.
¿Por qué es que estos servicios que permiten la búsqueda fácil de ID de usuario aún intentan ocultar el hecho de que el nombre de usuario existe cuando inicia sesión? Desde mi perspectiva, casi parece que esta es una situación similar a ¿Qué razones técnicas hay para tener una longitud máxima de contraseña baja? Cuando en un caso algo fue útil y luego todos lo copiaron hasta el punto en que se usó fuera de su situación útil.