O Google faz isso no seu sign-on. Se eles fazem, certamente a segurança disso foi avaliada.

Bom ponto, Elias! Acredito que não existe certo e errado, mas inúmeras variáveis no caminho kk'

No cenario Google, de certo existem N questões de bloqueio de segurança, log de tentativas... além é claro, de que é mais fácil encontrar um usuário que existe, do que um que não existe, no Google. E claro, o e-mail já é público, diferente do login de plataforma kk

Meu apontamento vai mais pro software de empresa XPTOEsquina, onde o login não é público, não tem base de usuário tão extensa, e muitas vezes, mal há um log de tentativas de login. O famoso, mundo real kkkk