Este es uno de los compromisos entre seguridad y usabilidad.
En un mundo perfectamente seguro, recibiría un mensaje que dice que la información de inicio de sesión es incorrecta (y no especifica el campo de nombre de usuario / contraseña), dejando un ataque sin saber qué campo cambiar para el próximo ataque. Desde el punto de vista de la usabilidad, es un error mucho más agradable ver que el usuario ha ingresado una contraseña o dirección de correo electrónico incorrectamente, por lo que el usuario sabe qué verificar.
Por supuesto, el diseño de Google (Outlook.com de Microsoft es de la misma manera ahora) significa que realmente no pueden decirle que cualquiera de los dos es incorrecto, solo uno u otro (por ellos piden el correo electrónico y la contraseña por separado).