Ho ragione supponendo che comunicando a un utente malintenzionato una e-mail sia o non sia presente nel sistema, il login è in effetti indebolito? Significa che se l'utente malintenzionato sa che l'e-mail è corretta, in effetti ha già il 50% dei dettagli di accesso, no?
Questo è uno dei compromessi tra sicurezza e usabilità.
In un mondo perfettamente sicuro, si otterrebbe un messaggio che dice che le informazioni di accesso sono errate (e non specificano il campo nome utente / password), lasciando un attacco incerto su quale campo cambiare per il prossimo attacco. Dal punto di vista dell'usabilità, è un errore molto più bello vedere che l'utente ha digitato erroneamente una password o un indirizzo e-mail, quindi l'utente sa a chi controllare.
Ovviamente, il design di Google (Microsoft's Outlook.com è allo stesso modo ora) significa che non sono in grado di dirti che è sbagliato, solo l'uno o l'altro (chiedendo per email e password separatamente).
Sì, ma gli indirizzi email sono piuttosto pubblici e facilmente compromessi. Probabilmente perché stanno passando ai numeri di telefono.
Anche l'attaccante ha guadagnato solo l'1% della difficoltà di cui hai bisogno per bruteare un account.
Leggi altre domande sui tag account-security