¿Por qué la mayoría de los sitios web no especifican si el nombre de usuario o la contraseña son incorrectos?

En realidad, eso se puede clasificar como fuga de información para el sitio web. Si reviso y ejecuto un ataque de fuerza bruta en la página de inicio de sesión y analizo la diferencia en las respuestas del sitio web, podría enumerar nombres de usuario válidos. En ese momento, es una cuestión de matemática lo fácil que será crear contraseñas válidas por fuerza bruta ahora que tengo una lista de nombres de usuario válidos. El vago mensaje de error es no permitir ataques de fuerza bruta en el campo de nombre de usuario para aumentar la dificultad de ese problema matemático, con suerte hasta el punto en que un atacante no considere que valga la pena.

Si bien la respuesta de John es técnicamente correcta, podría valer la pena preguntarse si la institución de “insinuaciones progresivas” en algunos sistemas podría ser realmente valiosa. Por ejemplo, muchos sistemas tienen autenticación únicamente para establecer la identidad del usuario y no para proteger nada (al menos nada que no pueda repararse fácilmente en caso de abuso). También es muy común que solo se pueda acceder a los sistemas una vez que se haya realizado la autenticación LAN. En ese caso, no veo ningún problema al decir algo como ‘Esa contraseña es incorrecta’, ‘su contraseña era demasiado corta’ o ‘su nombre de usuario no tiene esa contraseña’ u otra pista que pueda recordarle al usuario qué pasa. Eso sí, tales sistemas no deberían usar autenticación, o deberían obtenerla de un proxy como un PDC. ¡Solo han pasado unos 30 años desde que se inventó LDAP, después de todo!

De cualquier manera, creo que las respuestas automáticas sobre seguridad han contribuido en gran medida a la experiencia de autenticación de los usuarios en la web y en otros lugares en general y, en mi opinión, su pobre seguridad general como consecuencia. Pero eso es controvertido, lo sé.