Сообщение об ошибке, которое появляется при вводе неверного имени пользователя, упрощает хакеру подбор комбинации из имени пользователя и пароля. Ведь приложение само подтверждает активность учетных записей — соответственно, отпадает необходимость искать список активных имен пользователей для входа.

Остается только воспользоваться методом полного перебора для определения пароля. Этот метод требует гораздо меньше математических вычислений и затрат по времени по сравнению с подбором полной комбинации «имя пользователя/пароль».

Если же для входа в систему приложение использует схему из адреса электронной почты и пароля, возникает другая проблема. Форма входа позволяет искать действительные адреса электронной почты, которые можно продать в маркетинговых целях или для рассылки спама. Даже если приняты меры против метода полного перебора, специальным образом созданные входные данные (например, first.last@company.com, firstlast@company.com, firstl@company.com) дают возможность изменить схему, используемую для учетных записей электронной почты компании, и определить действительные учетные записи руководителей продаж или лиц с нужным уровнем доступа с целью последующего фишинга.