我认为这是一个严重的漏洞。这可能导致攻击者可以将每个用户锁定 30 分钟。

除非公司有 VPN 或其他保护机制，否则有可能下载整个用户列表，将虚假密码全部扔掉，然后将整个公司拒之门外。

他们甚至可以将其保持在一个循环中，并在很长一段时间内基本上拒绝所有员工的访问。

我会反过来看：

知道用户列表是否会增加可攻击帐户锁定机制的严重性？

用户名通常不是随机的，而是基于人名，因此即使没有特定知识，您也可以枚举可能的用户名（基于常用名字典）并快速提交它们以触发任何有效的锁定。

锁定系统可以并且应该防止此类攻击，例如通过锁定或限制来自单个 IP 地址的请求，而不管尝试使用的用户名如何。这只需要使攻击者减速到足以使枚举不切实际。

了解用户名列表可以减少您需要枚举的字典的大小。这可能足以使攻击变得实用，但这取决于您需要针对多少用户，以及系统采取了哪些措施来减慢您的速度。

了解用户名还可以帮助您在不触发其他保护措施的情况下锁定高价值帐户，但这些用户名也可能是从有关关键员工的公开信息中猜测出来的，所以这也是一个小小的推动，而不是攻击的根本变化。