Quando un utente cambia la propria password, questo costringerà tutti gli utenti che hanno effettuato l'accesso sul sito Web tramite i cookie ad essere costretti ad accedere di nuovo. Tuttavia, c'è un'applicazione mobile che registra l'utente tramite la chiave API. La chiave API recupera anche i dati dell'utente. Questo non viene effettuato cambiando le password. L'utente è ancora in grado di eliminare la chiave API nelle impostazioni per impedire all'utente di accedere a più dati sull'applicazione mobile. La modifica delle password dovrebbe anche invalidare tutte le chiavi API?