<div dir="ltr">The reason for the username-then-a-new-page-for-password flow in many cases is that the sites have multiple flows depending on your username! The GMail login page for example can send you to either the password page since you're a consumer account, the password page because you're a GSuite account using Google login, an off-site page since you're a GSuite using SAML. (This is ignoring the need to choose 2FA flows -- TOTP vs SMS vs Security Key!)<div><br></div><div>Alex</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 11, 2017 at 3:11 PM, R. David Murray <span dir="ltr"><<a href="mailto:rdmurray@bitdance.com" target="_blank">rdmurray@bitdance.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, 11 Dec 2017 14:52:54 -0500, "R. David Murray" <<a href="mailto:rdmurray@bitdance.com">rdmurray@bitdance.com</a>> wrote:<br>
> Indeed.  If 2fa is required for contribution to CPython, I'll stop<br>
> contributing.  Granted, I haven't done many merges lately, but a few<br>
> is a bigger number than zero :)<br>
<br>
</span>And in case you think this means I don't consider security important:<br>
I have been using strong, unique-per-site passwords (and in many cases<br>
unique usernames/emails) for many years, and I run my own email server.<br>
<br>
--David<br>
<br>
Aside: something I have never understood is the relatively recent<br>
craze for enter-username-first-then-go-<wbr>to-password-screen.  Most of the<br>
implementations I have encountered tell you if the username is unknown.<br>
That reduces the cracker's search space by a considerable amount.  Using<br>
your email address as the account id has the same problem, magnified.<br>
I had already started using unique usernames/emails before that trend<br>
happened, to battle spam, but it certainly reinforced my motivation for<br>
doing so.  I unfortunately haven't gotten around to backfilling a lot<br>
of the sites I did sign up to using my primary email address :(<br>
<div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
python-committers mailing list<br>
<a href="mailto:python-committers@python.org">python-committers@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/python-committers" rel="noreferrer" target="_blank">https://mail.python.org/<wbr>mailman/listinfo/python-<wbr>committers</a><br>
Code of Conduct: <a href="https://www.python.org/psf/codeofconduct/" rel="noreferrer" target="_blank">https://www.python.org/psf/<wbr>codeofconduct/</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">"I disapprove of what you say, but I will defend to the death your right to say it." -- Evelyn Beatrice Hall (summarizing Voltaire)<br>"The people's good is the highest law." -- Cicero</div><div dir="ltr">GPG Key fingerprint: D1B3 ADC0 E023 8CA6<br><div><br></div></div></div></div></div>
</div>