¿Estoy en lo cierto al suponer que al decirle a un atacante que un correo electrónico está o no está en el sistema, el inicio de sesión está debilitado? Lo que significa que si el atacante sabe que el correo electrónico es correcto, de hecho ya tiene el 50% de los datos de inicio de sesión, ¿no?
Este es uno de los compromisos entre seguridad y usabilidad.
En un mundo perfectamente seguro, recibiría un mensaje que dice que la información de inicio de sesión es incorrecta (y no especifica el campo de nombre de usuario / contraseña), dejando un ataque sin saber qué campo cambiar para el próximo ataque. Desde el punto de vista de la usabilidad, es un error mucho más agradable ver que el usuario ha ingresado una contraseña o dirección de correo electrónico incorrectamente, por lo que el usuario sabe qué verificar.
Por supuesto, el diseño de Google (Outlook.com de Microsoft es de la misma manera ahora) significa que realmente no pueden decirle que cualquiera de los dos es incorrecto, solo uno u otro (por ellos piden el correo electrónico y la contraseña por separado).
sí, pero las direcciones de correo electrónico son bastante públicas y fácilmente comprometidas. Probablemente por eso están cambiando a números de teléfono.
También el atacante solo ha ganado < 1% de la dificultad requerida para atacar una cuenta.
Lea otras preguntas en las etiquetas account-security