Hallo Henryk,

"incorrect username/email";
"incorrect password";

Du solltest diese Fehlermeldungen zu _einer_ zusammenfassen, die in beiden Fällen ausgegen wird. Das ermöglicht einem Angreifer weniger Rückschlüsse, da er nicht weiß, ob er einen richtigen Benutzernamen oder ein richtiges Passwort geraten hat, sondern nur, dass es nicht eine korrekte Kombination von Benutzername und Passwort ist.

Wird beispielsweise bei einem korrekten Passwort aber falschem Benutzername nur ausgegeben, dass der Benutzername falsch ist, weiß der Angreifer, dass _irgendein_ Benutzer zumindest dieses Passwort hat. So kann es passieren, dass ein Angreifer in einem Brute-Force-Durchgang mehrer Passwörter erhält, von denen er dann weiß, dass ein Benutzer dazu existiert.

Gelangt nun ein Angreifer irgendwie an eine Liste von Benutzernamen, brauch er nicht mehr für jeden Benutzer alle Passwörter durchzuprobieren sondern nur noch die, für die er weiß, dass irgendjemand sie verwendet. Das senkt seinen Aufwand beträchtlich, und damit natürlich auch die Sicherheit.

Schöne Grüße,

Johannes