Sőt, ha úgy nézzük, ez a helyzet szerveroldalon rosszabb, mint a jelszó. A szerveren a jelszót elég visszafejthetetlen (brute force-ot most hagyjuk ki) hash-ként tárolni, viszont a shared secret tényleges tartalmát minden login esetén szükséges ismerni szerveroldalon is, tehát akármennyire is titkosítod, kell egy gyors eljárás a visszafejtéshez. És ha azt a szerver vissza tudja fejteni, akkor nem zárható ki, hogy egy rosszindulatú támadó is. Hacsak nincs olyan HSM, ami erre is képes.