Solitamente i sistemi di autenticazione non confermavano se esistesse un account utente e, invece, segnalavano semplicemente che il nome di accesso dell'utente o la password non erano corretti.
Al giorno d'oggi, molti sistemi di autenticazione (in particolare quelli per account Google, account Microsoft, ecc.) (1) confermano che l'account utente esiste utilizzando il nome di accesso utente inviato, quindi (2) richiede la password.
Perché è cambiato?
C'è un compromesso tra usabilità e sicurezza. Mantenere il nome utente segreto è più sicuro, ma rende più difficile per l'utente utilizzare l'applicazione. Confermare se esiste un nome utente è un rischio marginale: l'attaccante può indovinare un numero limitato di valori. Se il nome utente è un indirizzo e-mail, la protezione si riduce ulteriormente poiché gli indirizzi e-mail sono generalmente pubblici. Questi provider ritengono che la piccola riduzione della sicurezza valga l'usabilità extra offerta per l'utente.
Leggi altre domande sui tag account-security user-enumeration