Para permitir el acceso, el nombre de usuario y la contraseña deben coincidir con los valores almacenados por la aplicación, independientemente de dónde se guardó la información. Tampoco es raro permitir un máximo de tres intentos y después del tercero, el sistema se niega a identificar al usuario y notifica al administrador del sistema o incluso al propietario de la cuenta.
