Pues ya lo explicó jam ...

Teorícamente .. cuando menos información des a tu usuario del error cometido .. más dificil será que "pruebe" .. Pero, en otros casos te puede interesar detectar que error obtienes en el login .. independiente de si muestras la misma frase de error para ambos tipo de errores o no .. por ejemplo para hacer tu própio "log" de intentos de login y ver por ejemplo que "intentan" hacer las pruebas que tu mismo sueles hacer (usuario = password .. etc).

Por supuesto, podemos implementar médios en el registro de usuarios para no permitir por ejemplo cosas como usuario=password .. 1234 como password .. o limitar el n° minimo de caracteres de la contraseña/usuario .. o forzar a que sea alfanumérica la contraseña .. o simplemente la generas tu automáticamente (y aleatoria) y no das opción que la cambien y la elija el usuario ..

Cualquier médio es válido.

Por lo que respecta a Autentificator .. primero se valida la existencia del usuario, dicho usuario no se permite que sea repetido (por lo menos si usas el gestor de usuarios original se valida dicho tema si se ocasiona ..así que quedas con usuarios distintos, no se hace a nivel de la BD y su campo correspondiente en SQL (no le puse "UNIQUE" al campo del usuario ...ahora que lo pienso). Por ende .. dos usuairos distintos con contraseñas iguales .. es lo de menos.

Un saludo,