Observo que la mayoría de los sitios web simplemente dicen "el nombre de usuario o la contraseña no son correctos", sin embargo, algunos le dirán si el nombre de usuario no existe.
¿Existe algún riesgo de seguridad que permita al usuario saber si ingresó un nombre de usuario no válido en lugar de simplemente decirle que la combinación de usuario / contraseña era incorrecta?
Si comienza por suponer que los nombres de usuario son o pueden ser todos públicos, entonces no existen riesgos de seguridad al revelar nombres de usuario no válidos. Sin embargo, este supuesto no suele ser el caso y, como tal, revelar la validez de los nombres de usuario facilitará los ataques de fuerza bruta.
Como ejemplo ridículo, algunas películas muestran a alguien que usa un dispositivo para descifrar una contraseña de una caja fuerte digital o código de puerta. Tal vez el candado tenga una contraseña de 8 dígitos y pueda ver los dígitos resolviéndose uno por uno en el dispositivo especial. Si ese mecanismo funcionara, solo tendría que hacer 10 intentos por dígito, para un total de 80 intentos de forzar la contraseña en el peor de los casos. Compare esto con 10 ^ 8 = 100 millones de intentos en el peor de los casos para el modo normal que realmente funcionan los bloqueos digitales. (Lo que intentas es una contraseña y el bloqueo se desbloquea o no lo hace). En esas mismas líneas, separar adivinar un nombre de usuario hasta que encuentres uno, entonces adivinar la contraseña de ese nombre de usuario sería más fácil por la misma razón.
Dicho esto, no significa necesariamente que esta sea una mala práctica. Por lo general, los nombres de usuario pueden adivinarse fácilmente de todos modos, especialmente en un sitio popular, por lo que la cantidad de entropía perdida al revelar la validez del nombre de usuario puede no ser suficiente para justificar que se preocupe por ello.
Lea otras preguntas en las etiquetas authentication