È banalmente suscettibile a un attacco chosen-plaintext:
Non ho recuperato la password, ma questo non ha frenato nel decifrare i messaggi.
- ho un testo T sufficientemente lungo;
- tu fai MyHKDF(key, len(T)) ^ T = C e mi invii C, che sarebbe la versione cifrata di T con una chiave key che io, in quanto attaccante, non conosco;
- calcolo T ^ C = P.
Non ho recuperato la password, ma questo non ha frenato nel decifrare i messaggi.