Een Amerikaanse e-mailprovider looft 10.000 dollar uit voor wie het e-mailaccount van de directeur kan kraken en geeft daarbij zowel de gebruikersnaam als wachtwoord weg. Om bij StrongWebMail te kunnen inloggen is namelijk ook een pincode vereist die via SMS wordt verstuurd. Een aanvaller zou dus een manier moeten weten te vinden om deze vijfcijferige code te onderscheppen. Inmiddels doen tweehonderd mensen aan de wedstrijd mee.

Op de inlogpagina is het ook mogelijk om een optie in te stellen waardoor een gebruiker altijd kan inloggen zonder eerst de PIN via de telefoon te ontvangen, wat bijvoorbeeld handig kan zijn als de desbetreffende computer door slechts één persoon gebruikt wordt. Uiteraard neemt dit wel een cruciaal deel van de beveiliging weg, maar een woordvoerder van het bedrijf achter de nieuwe e-maildienst meldt dat het inschakelen van deze optie eerst bevestigd dient te worden middels de ontvangen PIN-code.

Om bescherming tegen brute-force aanvallen te bieden, zijn maximaal drie IP-adressen per sessie toegestaan. Wanneer iemand, bijvoorbeeld via malware, er in slaagt om wachtwoord en gebruikersnaam te stelen en vervolgens probeert om toegang tot iemand anders account te krijgen, wordt de rechtmatige eigenaar per SMS hiervan op de hoogte gesteld.