登陆界面的错误 只提示用户名或者密码错误？为何不能给出准确提示呢？

以前一直好奇，为啥登录一个站点，每次提示，只是提示用户名或者密码错误，而不精确到是用户名错误还是密码错码。觉得用户体验一点都不好。自己还要去猜到底是哪个错误了。得一直去测试。后面了解到，这样做是好的。

一般会分为两种提示：

“你验证码错误”，“你的账号或者密码错误”

为什么账号和密码错误提示不分开？

1.如果将账号错误和密码错误分开，攻击者可以一直输入账号，这样就知道哪些账号是已经注册成功的，这样就就可以估算出你的用户数（对于部分企业这个是公司机密！）

攻击者知道账号已经注册成功后，就可以暴力破解你的密码了，一个个试也可以试出来。

所以部分公司将账号和密码错误的提醒是用同一个提示的，这样就可以减少被账号被盗取的可能。敢把这两个提示分开的，要么是公司对账号的保密性不高，要么就是通过其他方式提高了暴力破解的难度（例如根据ip限定最大尝试次数等方式）

2.将账号和密码分开提示还有一个问题就是：

如果你用邮件注册的，当你的邮箱被别人破解了之后，人家会利用你的邮箱去到各家网站撞库，加入网站提示密码错误，那么攻击者就知道你在这个网站注册了，然后通过忘记密码功能，就把你所有网站信息都获取了（特别是一些比较敏感的网站，例如金融账号，社交账号，在线云盘等等）

转账自：https://www.pmcaff.com/discuss/1000000000171550