Muchos consejos para no publicar direcciones de correo electrónico en el foro público, ya que algunos pueden intentar varios intentos de inicio de sesión utilizando algunos ataques de fuerza bruta, etc., pero observo que en varios sitios web (incluso en sitios web sensibles que tratan con dinero) puedo encontrar eso utiliza email-id / username para los mecanismos de inicio de sesión y en realidad muestran los nombres de usuario públicamente, como el sitio web de ejemplo GitHub ( enlace ).
Mi pregunta ¿son estos sitios web vulnerables a una amplia gama de ataques de fuerza bruta? Como usar rastreadores web para recopilar una gran cantidad de nombres de usuario y ataques brutos con una sola contraseña popular.
Por ejemplo, "nopassword" es una de las contraseñas más utilizadas por muchas personas En lugar de usar contraseñas como listas de palabras (método común), el atacante podría usar nombres de usuario que se obtienen de los bots como listas de palabras con una sola contraseña como "nopassword"
Es un ataque de espectro estrecho, pero el atacante podría obtener acceso a una gran cantidad de cuentas que usan contraseñas populares con este método. Entonces, ¿es esto una vulnerabilidad de los sitios web?