Os pesquisadores então conduziram um teste em que uma imagem para autenticação foi removida junto com os indicadores HTTPS. Os pesquisadores escreveram que esta é a primeira investigação empírica no uso de imagens para autenticação.

Apenas dois dos sessentas envolvidos não se autenticaram quando a imagem era removida, sinal de que o site pode ter sido afetado ou era um site de phishing, afirmou o estudo.

Dos usuários que estavam realmente usando sua conta bancária durante a observação, 23 de 25 continuaram a fornecer suas senhas.

"Descobrimos que as imagens são ineficientes", conclui o estudo.

No último teste, pesquisadores foram ainda mais óbvios, substituindo a página de fornecimento dos dados com uma página de alerta do Internet Explorer 7 Beta 3. O alerta afirma sobre um problema com o certificado de segurança do site. Mesmo com o aviso, 30 de 57 usuários forneceram suas senhas.

O estudo é divulgado ao mesmo tempo em que bancos estão enrijecendo suas tecnologias de autenticação para se encaixar em regulações federais.

Em outubro de 2005, o Conselho de Examinação Federal de Instituições Financeiras (do inglês, FFIEC) ordenou que os bancos dos EUA implementassem proteções de autenticação mais fortes até o final do ano, particularmente para transações de alto risco como envio de dinheiro à conta de uma pessoa diferente.

O Bank of America usa uma tecnologia de autenticação de imagem chamada SiteKey. Usuários escolhem uma imagem e estipulam uma frase a ela, enquanto definem três perguntas secretas.

Caso um usuário se autentique de um PC que não tenha um cookie, é pedida a resposta de uma das perguntas secretas para a verificação da imagem.

Caso a imagem não apareça ou a frase esteja errada, clientes não devem continuar. O Bank of America disse que o sistema de imagens beneficia usuários já que é de graça e não envolve software ou hardware extra.