Stören euch unpräzise Fehlermeldungen beim Login?

In Webanwendungssicherheit haben wir gelernt, dass man Fehlermeldungen beim Login immer möglichst unpräzise ausgeben sollte. Anstatt also anzugeben, dass der eingegebene Benutzername oder das Passwort falsch war, soll nur dort stehen, dass eine der Eingaben falsch war und man es wiederholt versuchen soll. Der Grund dafür ist, dass man es Hackern versucht damit schwieriger zu machen. Wissen sie nämlich, dass es am Passwort liegt, dann können sie schon mal sicher sein, dass der Benutzername existiert und damit versuchen weiterhin sich einzuloggen.

Auf der anderen Seite muss man aber natürlich ebenso auf die Benutzerfreundlichkeit achten und die würden bei einer falschen Eingabe sicher gerne wissen, ob es nun am Passwort oder am Benutzernamen liegt. So kann man den Fehler schneller finden und ihn korrigieren.

Was denkt ihr darüber? Stören euch solche unpräzisen Aussagen bei den Fehlermeldungen, wenn man sich nicht mit den richtigen Daten einloggt?

Mich hat das bisher schon immer gestört. Es wäre ja wirklich viel einfacher, wenn man weiß, ob es nun am Benutzernamen oder am Passwort gelegen hat. Dann würde man viel schneller auf eine Lösung kommen und sich einloggen können. Ich dachte mir immer, dass die das doch genau wissen. Also sollen sie es mir auch sagen und nicht so rumdrucksen.

Dass es dann für Hacker auch viel einfacher ist, habe ich bisher gar nicht bedacht. Ich wusste nicht, dass es aus Sicherheitsgründen absichtlich nicht verraten wird. Ich hab mir auch keine Gedanken darüber gemacht, sondern mich eben auf die Lösung konzentriert und ein bisschen rumgeschimpft. Aber jetzt, wo ich das weiß, werde ich mich das nächste Mal nicht aufregen, sondern dankbar sein, dass die Seite nicht hackerfreundlich ist.

Man muss eben abwägen zwischen Benutzerfreundlichkeit und Sicherheit. Da ist das doch ein guter Kompromiss. Immerhin ist es ja meine Schuld, wenn ich den Benutzernamen oder das Passwort verschusselt habe. Und wenn man gut organisiert ist, findet man beides schnell heraus. Würde man nur nach Benutzerfreundlichkeit gehen, gäbe es gar keinen Login und alles wäre immer offen. Das will doch auch keiner.

Ich habe mir bisher noch nie so besonders viele Gedanken zu dem Thema gemacht. Allerdings stimmt es schon, dass es sicherer ist, wenn die Fehlermeldung möglichst unpräzise ist. Dafür ist das natürlich nicht besonders benutzerfreundlich. Wenn man es nicht schafft, sich einzuloggen und gar nicht weiß, wo das Problem liegt, ist das einfach nur nervig. Man weiß ja nicht, ob das Passwort oder der Benutzername falsch ist, oder ob es ein generelles Problem mit der Seite gibt.

So weiß man dann als Benutzer natürlich nicht, wie man es weiter probieren soll, damit es endlich klappt. Allerdings wissen das Hacker in dem Fall natürlich genauso wenig, was die Sache schon sicherer macht. Ich weiß also nicht so recht, was ich davon halten soll.