Při PLAIN autentizaci se server při každém přihlášení dozví uživatelského heslo. Může ho logovat, ukládat, někam poslat atd. Server přitom může ovládat zlý útočník, a nebo zlý právoplatný majitel. Proto jsou lepší takové způsoby autentizace, kdy server heslo vůbec nezná, zná jenom hash, a ani po síti se neposílá heslo, ale zase jen hash. Ještě lepší je, když ten hash posílaný po síti není ten, který si server pamatuje, ale hash toho zapamatovaného hashe. Pokud bude případnému útočníkovi k ničemu, i když získá ten hash poslaný po síti.