На самом деле, в этом нет особой разницы, просто злоумышленнику проще сделать один шаг.
НО: URL-адреса очень часто сохраняются в истории браузера., журналы и т. д., это означает, что любой, кто имеет доступ к браузеру (или имеет доступ к URL), сможет увидеть имя пользователя и пароль в виде открытого текста.
Обновление:
Что касается названия вопроса и уточнения моего ответа:
Оба запроса GET и POST могут быть легко использованы для проведения атаки методом перебора.Используя GET, злоумышленнику будет проще сделать это вручную, но чаще всего это автоматические атаки, то есть приложение, выполняющее эти запросы, и, следовательно, используемый метод HTTP совершенно не имеет значения.
Вы никогда не сможете предотвратить жестокие атаки, выбрав один метод HTTP вместо другого.
Такие действия необходимо выполнять на стороне сервера, например, ограничивая количество обращений в минуту с одного IP.