Historiquement, ca vient des systèmes d’exploitation ou services à distance ou il est impossible de vérifier l’existence de l’utilisateur dans la base (i.e., pas de page publique utilisateur par exemple). L’idée reste valable dans ce cas précis à mon avis, ca ajoute une vraie sécurité, l’attaquant qui brute-force n’a aucune chance de savoir si c’est effectivement le mot de passe qui foire, ca multiplie considérablement le nombre de tentatives qu’il doit faire. Et en tant qu’utilisateur, si il n’ya pas de page publique, je suis content que le service ne dévoile pas à n’importe qui que j’y suis inscrit, si par exemple j’ai un username assez peu commun.

Sinon, sur les services en ligne ou l’identifiant est l’adresse e-mail: en tant qu’utilisateur du service, je ne veux pas que quelqu’un puisse savoir que
1/ l’adresse qu’il a récupérée quelquepart est vraiment utilisée (pas seulement valide, ce qu’il peut tester en envoyant un mail)
2/ j’ai effectivement un compte avec cette adresse sur ce service