Az összes security esetén mindig a felhasználó a legnagyobb probléma, ha kiirja a jelszavát egy post-it-re és a fiókjában tartja a hw tokenjét, ugyanúgy támadható. Ez ellen kétféleképp lehet védekezni: szabályzattal illetve biztosítással. Nagyon mást nem lehet csinálni, ugyanis sosem az a kérdés hogy egy adott felhasználó fiókjába be lehet-e törni, hanem hogy mennyi erőforrást hajlandó a támadó erre költeni (és ugye a nap végén mindig ott marad a gyorskötöző, csukja és vascső kombináció).