O exemplo usado no exercício de BDD leva a uma prática contrária à segurança da informação. Ao se especificar que o que está incorreto é a senha, um invasor descobre que o username está correto, bastando agora descobrir a senha.
O correto seria informar "Usuário/senha incorreto(a)".
Caro Franklin,
Obrigado pela sua postagem e sugestão!
De fato, esta questão de tentarmos dificultar potenciais ataques de invasores durante o processo de autenticação a invasores por meio do tratamento e comportamento explicito de mensagens de retorno de dados inseridos por usuários como login e username, por exemplo, faz todo o sentido dentro do prisma de segurança da informação.
Ajustamos a redação de saída da mensagem em linha com a sua sugestão.
Bons estudos!