Se os atacantes forem capazes de decifrar os hashes roubados, eles podem muito bem usá-los para tentar entrar na aplicação Web associada. Se isso for feito como uma simples tentativa usando um dos honeywords, a aplicação Web saberia que o acesso não foi autorizado - desde que o legítimo proprietário da conta não tenha acesso aos honeywords, qualquer outro honeyword usado poderia ser "desviado". Neste caso, a aplicação pode bloquear a conta ou acionar um alarme silencioso, além de redirecionar o atacante a um sistema de honeypot.
Claro que essa idéia só funcionará enquanto o servidor, onde os hashes são armazenados, também não armazenar informações sobre qual dos hashes seria a senha atual do usuário. Por isso, os pesquisadores propõem a criação de um sistema separado e seguro, onde seria considerado que as senhas foram utilizadas durante as tentativas de login através de um canal criptografado. Lembrando que este "honeychecker", não armazena qualquer informação sobre qualquer senhas ou honeywords.
