Estoy realizando una auditoría en un sitio web y descubrí que puedes crear diferentes cuentas con el mismo nombre de usuario, pero con contraseñas diferentes.
un usuario 'a' con contraseña 'a' tendrá una cuenta diferente a la del usuario 'a', pero con la contraseña 'b'.
Tengo la sensación de que este comportamiento es incorrecto, pero no veo claramente cuál es el riesgo al hacerlo.
Por el momento, no hay un sistema de recuperación de cuentas en el sitio web.
el fallo de inicio de sesión dice "nombre de usuario o contraseña incorrectos", por lo que no revela a los usuarios existentes.
¿Podría explicarme cuáles son los riesgos de proporcionar este comportamiento?