Internetis on mitu sisselogimisvormi (nt Google'i vormid), kuhu sisestate esmalt oma sisselogimisnime ja pärast sisestamist peate sisestama oma parooli.
Selle üheks eeliseks on Ma arvan, et server saab tõmmata ainult enda teada oleva pildi ja kuvada selle kasutajale, et aidata lihtsaid andmepüügiskeeme rikkuda.
Minu küsimus on, miks keegi ei tee seda vastupidi - küsige kõigepealt parool ja siis sisselogimisnimi.
Ma näen ilmset vastust (et parool ei pruugi olla kordumatu ja seetõttu ei tea server, kelle andmepüügivastaseid pilte kuvada), kuid ei veena mind. Paroolide jagamise kontode viivitamatu keelamine või vähemalt kasutajate sundimine järgmisel sisselogimisel paroolid unikaalseks stringiks muutma võib olla vastupidi ja kõrvale jättes lahendaks see paroolinähtuse "123456".
Teine probleem, mida näen, on see, et andmepüügi stsenaariumi korral, kus kasutaja sisestab oma parooli õigesti ja märkab siis, et talle kuvatakse valesid pilte, on ta juba oma paroolist loobunud ja andmepüügile jääb üle vaid tuvastada, kes see on parool kuulub.
Mida ma tahaksin teada, on see, kas sisselogimise ja seejärel parooli järjestus tuleneb enamasti kokkuleppest või kasutajaliidese kaalutlustest või kas jada tagurdamisel on muid turvaprobleeme kõigepealt parool (lisaks kahele, mida mainisin).