Não encher a tela do usuário de informação que ele não saberá ou não precisará consumir já está implicito (ou deveria estar) em qualquer estratégia de UX, e isso não é diferente quando vc precisa decidir o que comunicar na sua mensagem de erro.

"Não falar demais", dando detalhes que ajudam muito mais a vida do ladrão do que do usuário também é outra situação que deveria ser implicita (embora eu tenha presenciado nesta semana uma mensagem de erro em uma dessas maquininhas de cartão de crédito que deveria deixar qualquer Cyberseg de cabelos em pé rsrsr). Ux e segurança sempre estão de lados opostos do cabo de guerra. 2FA é um saco pra experiência do usuário, mas tira só pra vc ver a merd@ que acontece, não é verdade?

Tirando do caminho essas situações acima e as confusões que fazemos com exceções (o que já da um tópico por si), a intenção do texto é cutucar o dev no sentido de que ele sempre estará mais próximo do usuário do que ele acha (ou gostaria de) estar.