Tu razonamiento inicial es correcto
Básicamente, desea tener tantas variables en juego como sea posible, por lo que si sé que tengo el correo electrónico correcto, solo necesito ingresar la contraseña, si no sé si el correo electrónico es correcto, esa es otra variable en juego, haciendo que más o menos imposible para mí ser bruto a menos que esté seguro de que este correo electrónico es el registrado en el sitio. Aquí hay un ejemplo simple:
Imagina que me cabreaste y decidí arruinar tu vida digital.
Así que investigo un poco sobre usted y recopilo 10 de sus direcciones de correo electrónico / nombres de usuario de Internet.
Entonces escribo un pequeño script para ir a todos los sitios populares y verifico si tienes una cuenta allí, para hacer esto paso por los alias y uso una contraseña genérica “123456”.
Ahora, si el sistema escupe la contraseña incorrecta, este sistema revelaría qué nombre de usuario / correo electrónico usas en cada sitio, lo que me permite hacer un simple ataque de fuerza bruta / diccionario que probablemente me permita acceder a todas tus cuentas en unos pocos días
Ahora, si el sistema no me dice si el correo electrónico existe o no, tengo que redirigir todo a través de la página de registro. Si bien la mayoría de las personas de seguridad semi-competentes pensarán hacer esto, esto detiene una gran cantidad de ataques de personas que simplemente usan herramientas
Como sabes, no hay forma de detener todos los ataques, todo lo que estos sitios pueden hacer es intentar que sea un poco más difícil y espero que tengan suerte
- ¿Por qué las agencias del gobierno de los Estados Unidos son tan vulnerables a los ataques de piratería?
- ¿Hay alguna evidencia de puertas traseras en Windows u otro software de cliente para la NSA / CIA?
- ¿Cuál es el mejor antivirus para Windows 7?
- ¿Cuál es la diferencia entre ciberseguridad y seguridad de la información?
- ¿Es aconsejable usar un administrador de contraseñas?