Le password più corte e composte solo da lettere minuscole o numeri sono le più semplici da scoprire, mentre quelle con una combinazione di lettere maiuscole, minuscole, numeri e caratteri speciali sono più difficili da violare.
Gli aggressori possono generare un elenco di tutte le combinazioni possibili dei caratteri utilizzati dagli utenti e, per ciascuno di essi, generare l'hash corrispondente. Cercando eventuali corrispondenze tra la password hashed e la lista di hash generati, è possibile risalire alla password in chiaro impostata dall'utente-vittima.
La generazione delle possibili combinazioni di una password è fattibile con qualunque dispositivo ma diventa molto più veloce se si ricorre a una potente scheda grafica.
Hashcat è uno strumento per la violazione delle password molto potente e ampiamente utilizzato, che supporta una vasta gamma di algoritmi di hashing e può essere utilizzato per eseguire attacchi di forza bruta o altri tipi di attacchi per cercare di ottenere le password originali a partire da un dato hash.
Combinando una batteria di GPU, oggi facilmente accessibili anche tramite le principali piattaforme cloud, il lavoro di password cracking è diventato molto più snello rispetto al passato, rendendo password un tempo "forti" non più sufficientemente sicure.