¿Es la recomendación común ocultar la existencia de un nombre de usuario en el inicio de sesión solo en el teatro de seguridad? [duplicar]

A veces hay una razón legítima para dicha protección. Para dar un ejemplo que he observado personalmente (detalles), el sitio web de un proveedor médico que se especializa en un tipo particular de tratamiento (posiblemente algo estigmatizado, como la reasignación de sexo o el reemplazo hormonal, el asesoramiento sobre el suicidio o la adicción a las drogas, el aborto, el tratamiento de las ITS). , etc.) definitivamente debería tener tales protecciones, porque el simple hecho de saber si alguien tiene una cuenta con el proveedor constituye una violación de la confidencialidad del paciente (en la práctica, ya sea legal o no).

Por supuesto, también debe proteger la página de registro, en ese caso, tal vez la página de registro nunca muestre un error, simplemente dice "revise su correo electrónico para los próximos pasos", ya sea que el usuario esté en el sistema o no. quizás el registro requiera alguna información privada además de la dirección de correo electrónico habitual + contraseña, y todas las otras vías para detectar cuentas existentes (páginas de contraseña olvidadas, etc.). Sin embargo, eso es totalmente factible.

El mismo principio se puede aplicar a otras cosas donde se desea privacidad. Servicios de citas en línea, tiendas de juguetes / películas "para adultos", cualquier tipo de sitio social donde los usuarios estén siempre bajo seudónimos, servicios legales especializados, cualquier tipo de informe de problemas o servicio similar en el que alguien quiera tomar represalias (por ejemplo, sitios de denuncia de irregularidades) , y así sucesivamente.

Cuando se llega a esto, hay relativamente pocos escenarios en los que no preferiría tener tales protecciones (la única clase que inmediatamente viene a la mente es un sitio de redes sociales / colaboración / etc. explícitamente no anónimos). Para la mayoría de los sitios, probablemente no sea un gran problema, pero en general, a menos que tenga una razón para dejar en claro quién está usando su sitio, debe tratar de evitar la filtración de nombres de usuarios. Hay suficientes personas que prefieren la privacidad que al menos vale la pena tener en cuenta, y aunque en teoría debería ser tarea del usuario asegurarse de que no están utilizando nombres de usuario / direcciones de correo electrónico que puedan rastrearse en múltiples sitios, en la práctica la gente es mala en / don No sé cómo hacer eso.

EDITAR: No leí todos los comentarios primero; @schroeder lo consigue.

Lo que te falta es el elemento crucial para la definición de "teatro de seguridad": no hay seguridad mejorada.

Decir que las pautas generales no proporcionan seguridad mejorada en ciertos casos no hace que la pauta sea el teatro de seguridad. Al igual que con cualquier guía, recomendación, mejores prácticas, sugerencias u opiniones, debe haber una evaluación de riesgos , que es de lo que carece el teatro de seguridad.

Si una guía, como la forma de tratar la mensajería para las contraseñas incorrectas, no ofrece mejoras en una instancia en particular, realice la evaluación de riesgos. Pero si va en contra de un estándar de la industria, debe asegurarse de haber contabilizado todos los riesgos potenciales que no haya considerado (como la privacidad). Si ha tenido en cuenta todas las amenazas, tome la mejor decisión.

El único problema que tengo con su preocupación acerca de esta guía general en particular es por qué usted no lo sigue. No estoy seguro de qué se gana al no usar este mensaje en particular. Pero, si tiene un caso de negocios legítimo, y la evaluación de riesgos lo justifica, tome la mejor decisión.