Esta es la vieja tradición.
En tiempos anteriores , las personas estaban usando mainframes y contraseñas muy deficientes, por lo que protege la cuenta los nombres eran "importantes": si un atacante sabía el nombre de un usuario real, podía probar las contraseñas y, en ese momento, intentar que funcionaran algunas docenas de contraseñas.
Por supuesto, esto no fue satisfactorio, porque los nombres de los usuarios no son realmente información secreta. Era mucho mejor tener contraseñas seguras.
Hoy en día , ocultar los nombres de usuario es menos importante, y también imposible en algunos contextos. Por ejemplo, cuando un usuario se registra en algún sitio web, utilizando un "nombre" de su elección, entonces el sitio web DEBE advertirle sobre duplicados, y eso es inevitable; El sitio no puede tolerar a dos usuarios con el mismo nombre. En ese contexto, no es posible ocultar realmente los nombres de usuario; por lo tanto, ocultar nombres de usuarios debería ser inútil. Como menciona @Terry, CAPTCHA en las páginas de registro puede hacer que la enumeración de nombres de usuarios sea más difícil de realizar de forma automática (pero "más difícil" no es lo mismo que "difícil").
Por lo tanto, los mensajes de inicio de sesión fallidos que no distinguen entre un nombre de inicio de sesión no existente y una contraseña incorrecta aún se usan ampliamente, pero más por el bien de la tradición que por una razón fuertemente racional. .
Tenga en cuenta, sin embargo, que hay botnets que intentan replicarse intentando los inicios de sesión SSH en direcciones IP aleatorias, con "nombres de usuario y contraseñas comunes". Simplemente inspeccione el archivo auth.log
de un servidor Linux, verá estos intentos. Tales botnets lo han hecho durante años. Ellos podrían hacer esto por un sentido de tradición (no hay razón para creer que las personas malvadas son más competentes en lo que hacen que las personas no malvadas), pero es posible que este tipo de bruta la fuerza realmente funciona con una probabilidad de éxito no despreciable; y un mensaje de error que distingue entre un nombre de inicio de sesión incorrecto y una contraseña incorrecta solo puede ayudar a estas redes de bots.
Por lo tanto, aunque la noción total de evitar filtrar nombres de usuarios es principalmente un remanente histórico de tiempos anteriores, aún puede tener algún valor en algunos casos de esquina, principalmente fuerza bruta masiva por parte de un atacante sin mente.