Embora os algoritmos criptográficos sejam hoje em dia impossíveis de quebrar graças à multiplicidade de chaves possíveis, as palavras-passe utilizadas são os elos fracos dos actuais sistemas de encriptação. Por um lado, um ser humano tem geralmente de ser capaz de se lembrar da palavra-passe; por outro, tem de ser introduzida e outras pessoas ou programas podem escutar à medida que isto acontece.
Há várias maneiras de identificar uma palavra-passe:
Escutas, espionagem, chantagem e truques são todos bons métodos para obter a posse directa de uma palavra-passe. Os métodos técnicos só podem fornecer protecção em casos isolados. Neste contexto, tudo depende de o utilizador ser cuidadoso.
A adivinhação é possível assim que o perpetrador conheça bem o utilizador e se a palavra-passe foi escolhida sem os cuidados necessários. Os erros típicos neste contexto são os nomes de parceiros, crianças e animais de estimação ou também números de telefone e aniversários como palavras-passe.
Julgamento e erro. A língua alemã, por exemplo, cobre aproximadamente 300.000-500.000 palavras. O dicionário Duden inclui 120.000 palavras-chave. O poeta Goethe usou cerca de 80.000 palavras. Uma pessoa "normal" utiliza um máximo de 10.000 palavras. O jornal popular alemão Bild usa 1.500 palavras. Se uma simples palavra for escolhida como palavra-chave, há uma grande probabilidade de poder ser identificada após algumas centenas de milhares de tentativas, trabalhando simplesmente através de todas estas palavras - não há problema se se utilizar um computador.
A biblioteca integrada no Steganos Safe avisa-o se a palavra-passe escolhida for facilmente decifrável, comparando-a com mais de meio milhão de entradas. São necessários cerca de 0,3 segundos para verificar uma palavra-passe (P4 3GHz): por outras palavras, três palavras-passe por segundo. Assim, por exemplo, se utilizar uma palavra do jornal Bild, ela pode ser identificada num máximo de 500 segundos, ou seja, pouco mais de 9 minutos, se o perpetrador tiver os meios técnicos para automatizar este processo.
Se quaisquer quatro caracteres (letras maiúsculas e minúsculas e números) forem combinados aleatoriamente, isto resultará em mais de 14 milhões de possibilidades. Um computador precisaria de 57 dias para os experimentar a todos. Isto pode, no entanto, ser acelerado utilizando mais e mais computadores. No caso de 8 caracteres aleatórios, um computador precisaria de mais de 2 milhões de anos. Para além desta capacidade significativa do computador, seria necessário reduzir isto a um período de tempo mais manejável.
Ao seleccionar uma palavra-passe deve primeiro ter em consideração de quem se quer proteger. Se quiser proteger os seus segredos pessoais privados, os requisitos de qualidade da palavra-passe serão inferiores aos de uma empresa, onde os dados poderão eventualmente ter de ser protegidos de pessoal com conhecimentos de TI ou de espiões industriais. Os requisitos são, obviamente, ainda mais elevados se agências governamentais ou serviços secretos tiverem de ser impedidos de ter acesso aos dados.
Existem várias estratégias para gerar boas senhas. A melhor é utilizar um gerador de senhas para criar uma senha que consiste num mínimo de 10 caracteres; estes, por sua vez, devem ser seleccionados de pelo menos 62 caracteres diferentes (os caracteres maiúsculos e minúsculos do alfabeto alemão mais os números 0 a 9). O problema a este respeito é, evidentemente, a memorização da palavra-passe. Salvá-la ou anotá-la é apenas de ajuda limitada: mesmo que se utilize um gestor de palavra-passe, ainda é necessária uma palavra-passe segura para aceder à mesma - a palavra-passe mais segura do mundo é inútil se for escrita num pedaço de papel deitado ao lado do teclado. Se, contudo, não for esse o caso, então um gestor de senhas pode fornecer um método fácil e seguro de criar e administrar um número infinito de senhas altamente seguras, e, se desejar, até mesmo de as utilizar automaticamente.
As abreviaturas das frases são um bom compromisso entre segurança e capacidade de memorização. Afsaagcbsabatr seria, por exemplo, o resultado da frase anterior. Isto também deveria produzir pelo menos 10 caracteres. Se, além disso, caracteres individuais forem substituídos por números ou caracteres especiais, por exemplo "E" por "8" (oito) ou "f" por ? (ponto de interrogação), isto resultará numa boa palavra-passe que é simples de lembrar.