Antes, los sistemas de autenticación no confirmaban si existía una cuenta de usuario y, en cambio, simplemente informaban que el nombre de inicio de sesión o la contraseña del usuario eran incorrectos.
Hoy en día, muchos sistemas de autenticación (especialmente los de Cuentas de Google, Cuentas de Microsoft, etc.) (1) confirmarán que la cuenta de usuario existe mediante el uso del nombre de inicio de sesión del usuario enviado (2) para solicitar la contraseña.
¿Por qué cambió esto?
Aquí hay una compensación entre usabilidad y seguridad. Mantener el nombre de usuario secreto es más seguro, pero hace que sea más difícil para el usuario utilizar la aplicación. Confirmar si existe un nombre de usuario es un riesgo marginal: el atacante puede adivinar un número limitado de valores. Si el nombre de usuario es una dirección de correo electrónico, la protección se reduce aún más, ya que las direcciones de correo electrónico son generalmente públicas. Estos proveedores piensan que la poca reducción en la seguridad vale la utilidad adicional que ofrece para el usuario.
Lea otras preguntas en las etiquetas account-security user-enumeration