Isso foi corrigido no site do IT Security Stack Exchange .
É muito mais difícil para um invasor adivinhar combinações válidas de nome de usuário e senha do que apenas senhas. Uma vez confirmada a existência de uma conta, ela pode ser segmentada (talvez com alguma pesquisa externa em sites como o Facebook).
Também é muito mais conveniente que os sites retornem uma falha de autenticação genérica se consultarem o banco de dados para as duas partes das credenciais do usuário (nome de usuário e senha hash) ao mesmo tempo ou se a camada de autenticação for opaca e apenas retorna se o usuário é legítimo.
Em geral, não é bom revelar mais informações do que o necessário. Alguns invasores podem querer pegar a lista de usuários ("enumerados"), talvez por phishing.
Além disso, e se um usuário digitar incorretamente o nome de usuário para produzir um nome de usuário diferente, mas obtiver sua própria senha (não a senha do outro usuário), certo? Em seguida, a mensagem diria "senha incorreta", embora o erro estivesse, na verdade, no nome de usuário.