floq0r schrieb:
Das heißt du würdest auch mit einem falschen Username zur Passworteingabe umleiten? Da seh ich oft das Gegenteil.
Nein, das in keinem Fall, da das einfach nur Resourcenverschwendung ist. Nur wenn ich eine kombinierte Username/Password Seite habe, würde ich eine entsprechend unspezifische Meldung ausgeben.
Aber im Grunde ist der Sicherheitsgewinn davon minimal und, wie man eben sieht, mit modernen Login-Methoden nicht wirklich vereinbar. Manche Praktiken, die vor 10 Jahren in Security Schulungen gelehrt wurden, sind heute obsolet.
In vielen Fällen ist es sowieso mehr oder weniger öffentlich bekannt, das ein Benutzer ein Konto bei einem bestimmten Dienst hat. Wenn ich eine Mail von
max.mustermann@googlemail.com bekomme, weiß ich das es auch ein Google Konto mit
max.mustermann@googlemail.com gibt. Genauso wenn ich eine PayPal Zahlung von
hans.meier@gmx.de bekomme, dann weiß ich das er bei GMX und bei PayPal ist.
Und die diversen Datenbanken mit "abhanden gekommen" Login Daten sind voll mit aktiven, gültigen EMail Adressen. Es reicht in der Regel, eine Testmail an eine dieser Adressen zu schicken, dann sieht man schon ob das Konto noch gilt. Vielleicht hat man sogar Glück und der Trottel am anderen Ende verifiziert die EMail für indem er antwortet, die eingebetteten Bilder runterlädt, usw. dann weiß man das das Konto aktiv genutzt wird.