если ввести неверный пароль, то выдаётся сообщение - что пароль неверный. Если ввести несуществующее имя - то выдаст сообщение о том, что такой пользователь несуществует.
Правильнее было бы в обоих случаях выдавать сообщение вида "неверное имя пользователя и/или пароль" ?