Username dan password selalu menjadi syarat kredensial yang paling umum digunakan ketika akan mengakses ke suatu jaringan atau server. Untuk kasus pencurian username dan password yang diekspos ke pihak yang tidak berwenang. Hal ini biasanya terjadi ketika pengguna yang lengah atau awam menjadi mangsa tindakan phishing dan tanpa sengaja memasukkan username dan password mereka di situs web palsu fake portal login yang menyerupai atau diserupakan dgn web aslinya. Sebenarnya tanpa disadari pada peristiwa tersebut,pengguna tadi sudah memberikan hak akses nya kepada pihak penyusup. Dan disitulah data username dan password telah dicuri dan diambil alih.

Data otentikasi pengguna yang telah disusupi tersebut akan sulit terdeteksi meskipun dilakukan pemantauan dan analisis dalam perusahaan untuk mengidentifikasi aktivitas yang mencurigakan. Risiko yang ditimbulkan bervariasi tergantung tingkat hak akses yang diberikannya. Pengguna istimewa (administrator) yang memiliki akses administratif ke perangkat dan sistem, justru memiliki risiko yang lebih besar bagi perusahaan daripada pengguna level biasa. Dan pemegang hak akses kredensial ini tidak hanya terbatas pada sisi manusia saja, namun bisa sangat luas seperti server, perangkat-perangkat jaringan, dan alat keamanan yang seringkali memiliki kata sandi untuk berkomunikasi antar perangkat dalam lingkup regional maupun antar negara, vertikal maupun horizontal.

Trik berikut bisa diambil sebagai langkah pencegahan :

Hindari penggunaan username dan password yang umum , sebaliknya gunakan kata sandi yang efektif dan unik untuk memastikan kata sandi tersebut kuat.

Hindari menggunakan kata sandi yang seragam diseluruh layanan , karena mengakibatkan semua aplikasi yang berbagi kata sandi menjadi rentan. Hindari menggunakan kembali kata sandi yang sama untuk mengakses di beberapa aplikasi dan sistem.

Menggunakan otentikasi dua faktor , yaitu sistem keamanan yang melindungi akun pengguna selain kata sandi. Saat menggunakan Otentikasi dua faktor pengguna diminta memasukkan kode login khusus , dan pengguna akan dikonfirmasi jika ada seseorang yang mencoba akses ke jaringan atau server perusahaan dari perangkat komputer lain atau selular lain yang tidak dikenali.