Quando utilizzo l'autenticazione a due fattori di Google Authenticator, Google mi dirà se ho sbagliato la password prima di richiedere un codice di autenticazione.
Questo va contro almeno una linea di ragionamento intuitivo - consente a un utente malintenzionato di verificare se ha la password corretta prima di tentare di attaccare l'autenticazione a due fattori.
Quali sono i compromessi che rendono questa scelta ragionevole nel caso di Google e in generale? Come dovrebbe informare domande simili in altri spazi?
Questa domanda riguarda generalmente i 2FA, ma Google è solo un esempio ampiamente utilizzato.