Pořád je to chyba především autorů webových prohlížečů a webových standardů. Primární chyba je v tom, že prohlížeč vezme heslo uživatele a bez sebemenšího varování ho předá webové stránce a pak serveru. Bezpečné heslo je jedině takové, které nezná nikdo jiný než uživatel a jeho důvěryhodná zařízení.
Problémy s úniky hesel nepřestanou do té doby, než autoři prohlížečů nezačnou brát bezpečnost vážně, nezačnou pro přihlašování a registraci uživatelů vyžadovat alespoň HTTP Digest (nebo raději něco modernějšího) a nebudou velmi rychle tlačit na označení formulářového pole password jako nebezpečného.
Svalovat vinu na uživatele je akorát alibismu, nikdo si neodkáže zapamatovat stovky unikátních hesel, a neexistuje snadno použitelná infrastruktura pro použití správců hesel. Už jenom jejich integrace do desktopového prohlížeče je všelijaká, správce hesel se pokouší uhodnout kdy heslo zadáváte a kdy ho měníte, někdy se mu to podaří a někdy ne.