Taki system mógłby przynosić pewne korzyści, gdyby (1) dwa hasła zostały wybrane niezależnie i (2) polityka blokowania błędnych prób podania drugiego hasła była bardziej rygorystyczna niż w przypadku pierwszego.
Posiadanie dość rygorystycznej polityki blokowania dla prób podania nieprawidłowego hasła może znacznie zwiększyć odporność na ataki siłowe, ale także znacznie ułatwia ataki typu „odmowa usługi”. Jeśli konto zostanie zablokowane na 30 minut po trzech próbach podania nieprawidłowego hasła, każdy, kto zna identyfikator konta, może bardzo utrudnić dostęp prawowitemu użytkownikowi, wykonując trzy fałszywe próby logowania co 30 minut.
Jeśli istnieje dwuczęściowe hasło, a blokada ma zastosowanie tylko do prób wejścia, w przypadku których pierwsze hasło jest poprawne, wówczas konieczne byłoby złamanie pierwszego hasła, aby nawet przeprowadzić atak typu „odmowa usługi”. Ponadto przeszukiwanie przestrzeni klucza dla drugiego hasła byłoby znacznie wolniejsze niż dla pierwszego. Co więcej, chociaż powiadamianie posiadacza konta o powtarzających się błędnych hasłach głównych powodowałoby wiele fałszywych alarmów, na które właściciel konta nie mógł nic zrobić, powiadomienie posiadacza konta o nieprawidłowych hasłach do konta dodatkowego mogłoby być znacznie bardziej przydatne. Jeśli Adam Baker otrzyma powiadomienie, że podjęto próbę zalogowania się na jego konto przy użyciu prawidłowego hasła głównego, ale niepoprawnego hasła dodatkowego, a sam Adam nie był odpowiedzialny za tę próbę dostępu, będzie wiedział, że jego główne hasło zostało naruszone i może być w stanie do podjęcia działań, zanim oszust złamie drugie hasło.