Mnohé přihlašovací dialogy reagují na neúspěšné přihlašování zprávou, že uživatelské jméno nebo heslo je chybné. Nerozlišují tak situace, že je chybný konkrétní z těchto údajů nebo jsou chybné/neznámé oba. Bývá to zdůvodněno bezpečností, že tak útočník nezíská informaci o tom, jestli uživatelské jméno existuje, takže mu nestačí lámat jen heslo.
Ovšem vývojář Travis Jefferey tvrdí, že je to nesmysl. Legitimní uživatel takto nemůže zjistit, zda udělal chybu jen v hesle (což je nejčastější situace – už proto, že se heslo nezobrazuje a chyby si tedy nelze všimnout), nebo zadal špatně uživatelské jméno (může samozřejmě nastat situace, že je uživatelské jméno chybné, nicméně platné, pak by software ohlásil chybu v hesle; pozn. aut.).
Naopak útočníkovi to práci příliš nezkomplikuje. Může totiž využít toho, že se při pokusu o registraci uživatele stejně ukáže, zda uživatelské jméno existuje či nikoliv (samozřejmě jen v případě, že se jedná o veřejně využitelný systém, který povoluje registrace; pozn. aut.). Jediné funkční řešení by bylo, kdyby registrace nedávala žádné informace o tom, zda se povedla, a tyto informace by se posílaly jen na e-mailovou adresu, která by byla zároveň uživatelským jménem.
Travis Jefferey pracoval například na projektech Basecamp nebo Taplytics, nyní působí ve firmě Confluent, kde pracuje na cloudové platformě nad Apache Kafka.
