Na verdade, é a contraty: é mais seguro esperar primeiro pelo nome de usuário e senha antes de responder ao erro de autenticação, sem dar detalhes sobre qual parte está errada.
Se o servidor responder com as informações "Nenhum nome de usuário" imediatamente após receber o nome de usuário, ele ficará menos seguro, já que seria trivial enumerar a lista de contas de usuário existentes, apenas por força bruta, sem ter adivinhar senhas (o espaço - também conhecido como valores - de todos os nomes de usuários é muito menor do que o de todas as senhas, devido a suas restrições de sintaxe).
Note também que ssh access não é apenas nome de usuário + senha, você também pode fazer login com username + private key por exemplo (e um dado nome de usuário pode ter várias chaves que deseja usar, quando um usuário possui apenas uma senha) .