personalmente credo che per la sicurezza dei tuoi utenti sia meglio così, per il semplice fatto che se si trattasse di un sito delicato (raccolta di dati personali, codici, fondi, ecc..) un "hacker" che tenta un attacco bruteforce dovrebbe fare la metà del lavoro.. una volta che sai che per certo un utente esiste ti basta provare tutte le password anzichè dover trovare entrambi!
Ad ogni modo potresti esaminare la pagina che ti invia un'email con la password nel caso tu l'abbia dimenticata quindi attraverso quel codice inserire un controllo nella pagina di login. Solitamente quando li inserisci un utente inesistente vieni avvertito (o forse era l'indirizzo email?).
