Es difícil entender políticas específicas, pero hay algunas reconocidas a nivel mundial:
- Los inicios de sesión no encriptados se consideran sujetos a intercepción, particularmente porque los ISP ahora registran el tráfico de manera natural. Como anexo a esto, como las contraseñas a menudo se reutilizan con nombres de cuenta similares en otros servicios, las credenciales interceptadas plantean un grave riesgo de seguridad en todos los servicios utilizados en cualquier lugar de Internet.
- HTTPS y SHTTP son estándar para los inicios de sesión en estos días, OAUTH a través de una aplicación es menos común, Kerberos casi nunca se usa.
- La información contextual es la base detrás de todo análisis de Big Data realizado por piratas informáticos, por lo que cuanto más obtienen, más pueden acceder a los suyos en otros servicios.
- Algunos navegadores web simplemente no permitirán inicios de sesión sin cifrar como peligrosos e inseguros.
- Muchos servicios disponibles no permiten inicios de sesión sin cifrar.
- Muy pocos desarrolladores o administradores de servidores saben usar otra cosa que no sea la familia de protocolos HTTP.
- Algunos desarrolladores usarán su propio cifrado en lugar de SSL / TLS debido a defectos en el diseño de SSL y en las bibliotecas de SSL, algunos porque es costoso obtener un certificado decente, algunos porque es difícil de configurar y algunos porque los administradores de red de algunas compañías ponen política de la oficina primero y hacer el trabajo en segundo lugar o menos. No puede inspeccionar un paquete encriptado en el firewall en busca de virus u otro contenido inaceptable, está encriptado. En algunas empresas, eso es una violación de la política a pesar de que resulta en inseguridades peligrosas.