Aus dem gleichen Grund halten wir unsere tatsächlichen Namen nicht geheim: Sie werden zur Identifizierung von uns verwendet und sind von Design aus gemeinsam nutzbar.
Die Absicht ist, die Informationen eines potenziellen Angreifers zu reduzieren, indem er nicht teilt, ob er mit einem vorhandenen Benutzernamen arbeitet. Allerdings sind Systeme, die "Benutzername oder Kennwort sind falsch" verwenden, Nachrichten in der Regel noch genauso anfällig wie Systeme ohne sie. Anmeldeformulare (und manchmal auch Formulare zum Zurücksetzen von Kennwörtern) geben an, ob ein Konto vorhanden ist oder nicht. Daher ist es einfach, festzustellen, ob ein Benutzername vorhanden ist. Daher kann dieser Ansatz für legitime Benutzer frustrierender sein, als für Angreifer.
Stellen Sie sich vor, Sie versuchen, einen Freund auf einer Plattform zu finden, wenn der Klartext-Benutzername nicht gespeichert ist: Sie müssten den richtigen Benutzernamen für das Zeichen eingeben. Ein solches System wäre schrecklich unpraktisch. Ein geheimer Benutzername wäre dem zweiten Passwort ähnlich, und es gibt viel bessere Möglichkeiten, Konten zu sichern.