Voglio continuare la discussione avviata in questa domanda "Nome utente e / o password non validi" - Perché i siti web mostrano questo tipo di messaggio invece di informare l'utente quale era sbagliato? ma a causa della mia reputazione ho bisogno di creare una nuova domanda.
Quindi mi chiedo perché Google e Facebook diano sicuramente ciò che è sbagliato: email o password mentre alcune persone pensano che questo possa essere un problema di sicurezza?
Alcune riflessioni su "questo è pericoloso perché ora l'hacker è sicuro che l'e-mail è valida":
Penso che quasi ogni sito abbia un modulo per il recupero della password con solo un campo di posta elettronica, quindi è abbastanza facile per gli hacker sapere se esiste qualche e-mail o meno. Inserirà semplicemente l'e-mail nel modulo di ripristino e attenderà la risposta "L'e-mail di recupero è stata inviata" o "Questa e-mail non esiste".
Sì, l'utente reale conoscerà questo tentativo di ripristino non autentico e probabilmente proteggerà il suo account rapidamente. Tuttavia, in caso di forzatura bruta della password, possiamo anche informare l'utente di tentativi di accesso sospetti (Facebook ha usato per inviare email di questo tipo dopo un certo numero di tentativi di accesso non riusciti).