Sito web che consente account diversi con lo stesso nome utente

Questo comportamento suggerisce che le password non siano archiviate in modo corretto.

Presumibilmente il sito web che controlli controlla gli utenti in un database, che corrisponde sia al nome utente che alla password dei campi. Ciò significa che la password non è hash o hash in un modo prevedibile. Se tutte le password avessero un valore diverso, la funzione di ricerca avrebbe dovuto verificare ogni password nel database. Questo può essere fatto solo in un tempo ragionevole quando si utilizza una funzione hash molto veloce, che è una cattiva idea quando si memorizzano le password.

Quindi le password non sono hash, hash senza sale o hash con una funzione hash molto veloce. Questo non è ottimale, dal momento che è consigliato alle password di hash utilizzando Sali e un lenta funzione di hash, come bcrypt.

Dopo aver lavorato come sviluppatore su un software che identificava gli utenti in base alla coppia (nome utente, password), i nomi utente non dovevano essere univoci. Tuttavia, occasionalmente potrebbe accadere che due utenti scelgano lo stesso nome utente e password. Penso che il risultato sia stato accidentalmente finire nell'account di un altro utente.

Si noti che è probabile che ciò accada solo se non si hanno restrizioni sulle password. Se si controllano le password di un dizionario per eliminare le password più comuni, è improbabile che due utenti scelgano la stessa password.

Oltre al rischio relativo alla memorizzazione / hash delle password menzionate nella risposta di Sjoerd, questa situazione rende difficile registrare correttamente o controllare il comportamento. Se vedi che qualcosa è stato fatto dall'utente 'a', allora è stato fatto da quello con la password 'a' o 'b'? Tecnicamente questo può essere evitato registrando un identificatore univoco separato come un numero di conto, ma potrebbe anche essere evitato usando solo nomi utente univoci in primo luogo.