Una cosa importante da capire è che esiste una differenza pratica tra "esposizione della password" e "più rischio".
Si può dire con certezza che l'invio di un sito ai criminali in testo in chiaro comporta un'esposizione aggiuntiva della password. Questo fatto non è in discussione.
Se ciò comporta un rischio aggiuntivo, tuttavia, è più sfumato. Se il sito non fa nulla al riguardo, e tu e altri utenti continuate a utilizzare il sito come se il difetto non fosse noto, allora l'esposizione aggiuntiva per la password ha effettivamente come risultato rischio aggiuntivo. Se, tuttavia, porta a cambiamenti nel comportamento, ad esempio, alcuni utenti decidono di non riutilizzare le password che altrimenti avrebbero riutilizzato su questo sito, (più probabilmente) o la pubblicità negativa induce il sito a migliorare la sicurezza del sistema , (meno probabile, ma possibile e un'enorme riduzione del rischio se raggiunta), l'equazione cambia da non molto chiara a una definizione e una significativa riduzione del rischio.
Quindi non è così semplice come una scelta è giusta, e l'altra è sbagliata. Il rischio, per sua natura, include una componente dell'ignoto, che è la probabilità di un eventuale sfruttamento, quindi alla fine si tratta di una sentenza.