用户帐户名字结构往往非常有规律(如Joe Bloggs帐户名叫jblggs,Fred Nurks帐户名叫fnurks),合法的帐户名称可以轻易被简单猜测。
确定应用程序帐户名结构渲染器是否存在帐户枚举漏洞。确定应用错误消息是否允许帐户枚举。
确保应用程序在登录过程中,返回一致的通用错误信息来应对不合法的用户名称、密码或其他用户凭证信息。