Según los expertos del Instituto de Tecnología y Estándares norteamericano (NIST), se ha convertido en una vulnerabilidad y ajuste que, tal y como apuntan, no dificulta, sino que facilita un ciberataque. Según explican desde esta entidad en el apartado de Autenticadores de contraseñas, los verificadores y políticas de seguridad de contenido (CSP) "no deben exigir a los usuarios" que lleven a cabo esta recomendación, a no ser que haya una evidencia de que "el autenticador está comprometido".