Le informazioni di contatto memorizzate nella directory sono dati del profilo, come un numero di telefono, un indirizzo email secondario o un indirizzo di recupero, conservati in una directory delle identità. Descrivono ciò che il sistema sa di un utente, ma non significano automaticamente che l'utente abbia registrato quel valore come metodo di recupero attendibile.
Questa distinzione è importante perché gli aggressori spesso prendono di mira il recupero degli account. Se un servizio tratta i dati della directory come prova di identità, un campo email o telefono obsoleto o non verificato può diventare un anello debole per i reset della password e le prese di possesso assistite dall'help desk. I sistemi di identità robusti separano i dati del profilo dalla registrazione di sicurezza, richiedendo agli utenti di registrare esplicitamente i metodi di recupero e agli amministratori di applicare questa politica. I difensori dovrebbero verificare quali campi di contatto siano effettivamente idonei per il reset della password in self-service, mantenere aggiornati i record e rimuovere l'idea che ogni numero o indirizzo memorizzato sia sicuro da considerare affidabile.