O ile algorytmy kryptograficzne są dzisiaj nie do złamania dzięki mnogości możliwych kluczy, to hasła są słabym ogniwem obecnych systemów szyfrowania. Po pierwsze, człowiek musi być w stanie zapamiętać hasło, po drugie, hasło musi być wpisane, a inne osoby lub programy mogą je podsłuchiwać.
Istnieją różne sposoby identyfikacji hasła:
Podsłuch, szpiegowanie, szantaż i podstęp są dobrymi metodami, aby wejść w bezpośrednie posiadanie hasła. Metody techniczne mogą zapewnić ochronę tylko w pojedynczych przypadkach. W tym kontekście wszystko zależy od ostrożności użytkownika.
Zgadywanie jest możliwe, jeżeli sprawca zna użytkownika wystarczająco dobrze i jeżeli hasło zostało wybrane bez wymaganej ostrożności. Typowymi błędami w tym kontekście są imiona partnerów, dzieci i zwierząt domowych lub też numery telefonów i daty urodzin jako hasła.
Próba i błąd. Na przykład język niemiecki obejmuje około 300.000-500.000 słów. Słownik Dudena zawiera 120 000 słów kluczowych. Poeta Goethe używał około 80 000 słów. "Normalny" człowiek używa maksymalnie 10 000 słów. Niemiecka popularna gazeta Bild używa 1 500. Jeżeli jako hasło zostanie wybrane proste słowo, istnieje duże prawdopodobieństwo, że można je zidentyfikować po kilkuset tysiącach prób, po prostu przeglądając wszystkie te słowa - nie ma problemu, jeżeli używa się komputera.
Biblioteka zintegrowana w Steganos Safe ostrzega, że wybrane przez Państwa hasło jest łatwe do złamania, porównując je z ponad pół milionem haseł. Na sprawdzenie hasła potrzeba około 0,3 sekundy (P4 3GHz): innymi słowy, trzy hasła na sekundę. Jeżeli więc np. użyje Pan słowa z gazety Bild, może ono zostać zidentyfikowane w ciągu maksymalnie 500 sekund, czyli nieco ponad 9 minut, jeżeli sprawca dysponuje technicznymi środkami do zautomatyzowania tego procesu.
Jeżeli losowo połączy się cztery dowolne znaki (duże i małe litery oraz cyfry), to powstanie ponad 14 milionów możliwości. Komputer potrzebowałby 57 dni, aby wypróbować je wszystkie. Można to jednak przyspieszyć, wykorzystując szybsze i liczniejsze komputery. W przypadku 8 losowych znaków komputer potrzebowałby ponad 2 miliony lat. Poza tym, aby skrócić ten czas do łatwiejszego do opanowania, potrzebna byłaby znaczna moc obliczeniowa komputerów.
Wybierając hasło, należy najpierw wziąć pod uwagę, przed kim chce się Pan chronić. Jeżeli chcą Państwo chronić swoje prywatne tajemnice, wymagania co do jakości hasła będą niższe niż w korporacji, gdzie dane mogą być chronione przed personelem z umiejętnościami informatycznymi lub przed szpiegami przemysłowymi. Wymagania są oczywiście jeszcze wyższe, jeżeli trzeba uniemożliwić dostęp do danych agencjom rządowym lub służbom specjalnym.
Istnieją różne strategie generowania dobrych haseł. Najlepszą z nich jest użycie generatora haseł do stworzenia hasła składającego się z minimum 10 znaków, które z kolei powinny być wybrane z co najmniej 62 różnych znaków (duże i małe litery niemieckiego alfabetu plus cyfry od 0 do 9). Problemem w tym zakresie jest oczywiście zapamiętanie hasła. Zapisanie go lub zapisanie jest pomocne tylko w ograniczonym stopniu: nawet jeżeli korzystają Państwo z menedżera haseł, to i tak potrzebują Państwo bezpiecznego hasła, aby uzyskać do niego dostęp - najbezpieczniejsze hasło na świecie jest bezużyteczne, jeżeli zostanie zapisane na kartce papieru leżącej obok klawiatury. Jeżeli jednak tak nie jest, to menedżer haseł może zapewnić łatwą, bezpieczną metodę tworzenia i administrowania nieskończoną liczbą bardzo bezpiecznych haseł, a na życzenie nawet ich automatycznego stosowania.
Skróty zdań są dobrym kompromisem między bezpieczeństwem a możliwością zapamiętania. Afsaagcbsabatr będzie na przykład wynikiem poprzedniego zdania. To również powinno dać co najmniej 10 znaków. Jeżeli dodatkowo zastąpi się poszczególne znaki cyframi lub znakami specjalnymi, np. "E" przez "8" (osiem) lub "f" przez ? (znak zapytania), powstanie dobre, łatwe do zapamiętania hasło.