Helaas is het enige, dat tijdens een doordachte phishing-aanval beschermd wordt, de private key in zo'n Titan sleutel. Wat je zou moeten willen, is een systeem dat verhindert dat iemand namens jou ergens kan inloggen, en dat doet dit systeem niet. Een vereiste voor aanvallers is wel dat zij een MITM (Man In The Middle) aanval uitvoeren, maar dat doen ze in de praktijk meestal - o.a om te detecteren dat je een verkeerd wachtwoord hebt ingevoerd, maar vooral om te voorkomen dat je argwaan krijgt en alarm slaat als je, na inloggen op een nepsite, niet kunt doen waar je voor kwam. Natuurlijk is het voor aanvallers interessante bijvangst als ze jouw inloggegevens kunnen kopiëren en die, zonder jouw hulp, kunnen hergebruiken, maar dat is zelden hun primaire doel. Sowieso is de kans aanwezig dat je, nadat zij voor de eerste keer hebben toegeslagen, ontdekt dat je er in bent geluisd (bijv. bankrekening geplunderd) en jouw credentials wijzigt. Spionnen daargelaten, slaan criminelen hun slag en verdwijnen zo snel ...