ich glaube nicht, dass das Verfahren irgendwie sicherer ist. Okay, man kann im ersten Schritt schon mal prüfen, ob der Anmeldename überhaupt bekannt ist und braucht im Fehlerfall gar nicht erst das Passwort durch Netz zu schicken. Denn ein Passwort gar nicht zu übermitteln ist noch besser, als ein Passwort verschlüsselt zu übermitteln.

Eine Vorab-Prüfung des Benutzernamens trägt den Nachteil in sich, dass ein Angreifer, der einen potentiellen Benutzername kennt, eine Information erhält, ob ein Benutzer mit diesem Merkmal überhaupt Nutzer des Dienstes ist. (Falls nur in diesem Fall nach einem Passwort gefragt oder eine andere Form der Authentifizierung gewählt und somit offenbar wird.) Das ist genau dann problematisch, wenn als Benutzername ein (potentiell) öffentlich bekanntes Merkmal wie die Mailadresse als Anmeldename benutzt wird.

Beispiel:

Würden Banken das so machen (Benutzername=Emailadresse) und im Falle eines unbekannten Benutzers keine weitere Authentifizierung durchführen (und sei es als Fake), dann könnte eine „interessierte“ Person oder Organisation ganz einfach erfahren wer bei welcher Bank Kunde ist und wie sich die weitere Authentifizierung gestaltet (woraus sich ggf. weitere Information ergeben) und so z.B. das Phishing „optimieren“.

Ich denke, Rolf liegt am nächsten.

Nachtrag:

Aus diesem Grund ist ja „verwerflich“, bei einer misslungenen Authentifizierung den Anmelder darüber zu informieren, ob denn nun der Benutzername oder das Passwort falsch war…