Terwijl de cryptografische algoritmen tegenwoordig niet meer te kraken zijn dankzij de veelheid van mogelijke sleutels, zijn de gebruikte paswoorden de zwakke schakels in de huidige encryptiesystemen. Ten eerste moet een mens het wachtwoord meestal kunnen onthouden; ten tweede moet het ingevoerd worden en kunnen andere mensen of programma's meeluisteren terwijl dit gebeurt.
Er zijn verschillende manieren om een wachtwoord te achterhalen:
Afluisteren, spioneren, chantage en list zijn allemaal goede methoden om rechtstreeks in het bezit van een wachtwoord te komen. Technische methoden kunnen slechts in geïsoleerde gevallen bescherming bieden. In dit verband hangt alles af van de oplettendheid van de gebruiker.
Gissen is mogelijk zodra de dader de gebruiker goed genoeg kent en als het wachtwoord zonder de vereiste zorgvuldigheid is gekozen. Typische fouten in dit verband zijn de namen van partners, kinderen en huisdieren of ook telefoonnummers en verjaardagen als paswoord.
Met vallen en opstaan. De Duitse taal, bijvoorbeeld, omvat ca. 300.000-500.000 woorden. Het Duden woordenboek bevat 120.000 sleutelwoorden. De dichter Goethe gebruikte zo'n 80.000 woorden. Een "normaal" mens gebruikt maximaal 10.000 woorden. De Duitse volkskrant Bild gebruikt er 1.500. Als een eenvoudig woord als wachtwoord gekozen wordt, is de kans groot dat het na een paar honderdduizend pogingen geïdentificeerd kan worden door gewoon al die woorden door te werken - geen probleem als u een computer gebruikt.
De in Steganos Safe geïntegreerde bibliotheek waarschuwt u als het door u gekozen wachtwoord gemakkelijk te kraken is door het te vergelijken met meer dan een half miljoen vermeldingen. Er zijn ongeveer 0,3 seconden nodig om een wachtwoord te controleren (P4 3GHz): met andere woorden, drie wachtwoorden per seconde. Als u bijvoorbeeld een woord uit de krant Bild gebruikt, kan dat dus in maximaal 500 seconden, dus iets meer dan 9 minuten, geïdentificeerd worden, als de dader de technische middelen heeft om dit proces te automatiseren.
Als vier willekeurige tekens (hoofdletters, kleine letters en cijfers) gecombineerd worden, levert dat meer dan 14 miljoen mogelijkheden op. Een computer zou 57 dagen nodig hebben om ze allemaal uit te proberen. Dit kan echter versneld worden door snellere en meer computers te gebruiken. In het geval van 8 willekeurige tekens zou een computer meer dan 2 miljoen jaar nodig hebben. Bovendien zou er een aanzienlijke computercapaciteit nodig zijn om dit terug te brengen tot een meer beheersbare tijd.
Bij de keuze van een wachtwoord moet u eerst in overweging nemen tegen wie u zich wilt beschermen. Als u uw persoonlijke privégeheimen wilt beschermen, zullen de eisen aan de kwaliteit van het wachtwoord lager zijn dan in een bedrijfsomgeving, waar de gegevens eventueel beschermd moeten worden tegen personeel met IT-vaardigheden of tegen industriële spionnen. De eisen zijn uiteraard nog hoger als moet worden voorkomen dat overheidsinstanties of geheime diensten toegang krijgen tot de gegevens.
Er zijn verschillende strategieën om goede wachtwoorden te genereren. De beste is een wachtwoordgenerator te gebruiken om een wachtwoord te maken dat uit minstens 10 tekens bestaat; die moeten dan weer gekozen worden uit minstens 62 verschillende tekens (de hoofdletters en kleine letters van het Duitse alfabet plus de cijfers 0 tot en met 9). Het probleem in dit verband is natuurlijk het onthouden van het wachtwoord. Het opslaan of opschrijven helpt maar beperkt: zelfs als u een password manager gebruikt, hebt u nog steeds een veilig wachtwoord nodig om er toegang toe te krijgen - het veiligste wachtwoord ter wereld is nutteloos als het op een stuk papier staat dat naast het toetsenbord ligt. Is dat echter niet het geval, dan kan een password manager een gemakkelijke, veilige methode bieden om een oneindig aantal zeer veilige wachtwoorden te maken en te beheren, en desgewenst zelfs om ze automatisch te gebruiken.
Afkortingen voor zinnen zijn een goed compromis tussen veiligheid en kunnen onthouden. Afsaagcbsabatr zou, bijvoorbeeld, het resultaat van de vorige zin zijn. Ook dit moet minstens 10 tekens opleveren. Als daarnaast afzonderlijke tekens vervangen worden door cijfers of speciale tekens, b.v. "E" door "8" (acht) of "f" door ? (vraagteken), dan levert dat een goed wachtwoord op dat eenvoudig te onthouden is.