Si comienza por suponer que los nombres de usuario son o pueden ser todos públicos, entonces no existen riesgos de seguridad al revelar nombres de usuario no válidos. Sin embargo, este supuesto no suele ser el caso y, como tal, revelar la validez de los nombres de usuario facilitará los ataques de fuerza bruta.
Como ejemplo ridículo, algunas películas muestran a alguien que usa un dispositivo para descifrar una contraseña de una caja fuerte digital o código de puerta. Tal vez el candado tenga una contraseña de 8 dígitos y pueda ver los dígitos resolviéndose uno por uno en el dispositivo especial. Si ese mecanismo funcionara, solo tendría que hacer 10 intentos por dígito, para un total de 80 intentos de forzar la contraseña en el peor de los casos. Compare esto con 10 ^ 8 = 100 millones de intentos en el peor de los casos para el modo normal que realmente funcionan los bloqueos digitales. (Lo que intentas es una contraseña y el bloqueo se desbloquea o no lo hace). En esas mismas líneas, separar adivinar un nombre de usuario hasta que encuentres uno, entonces adivinar la contraseña de ese nombre de usuario sería más fácil por la misma razón.
Dicho esto, no significa necesariamente que esta sea una mala práctica. Por lo general, los nombres de usuario pueden adivinarse fácilmente de todos modos, especialmente en un sitio popular, por lo que la cantidad de entropía perdida al revelar la validez del nombre de usuario puede no ser suficiente para justificar que se preocupe por ello.