Le vrai problème est la méthode de connexion par identifiant et mot de passe.
Il faut absolument que lors de la création des identifiants et mot de passe le processus génère et attribue d’autorité un identifiant valable [*] et un mot de passe valable.

[*] l’adresse de courriel est dangereuse car quasiment publique donc facilement devinable. Je ne comprends pas sa généralisation en tant qu’identifiant. Il faut un identifiant dont la syntaxe est celle d’un mot de passe. On aurait ainsi 2 mots de passe à deviner.