Det finnes en rekke ulike trusler mot passord, hvor noen av de mest vanlige er:
Phishing
Bruker blir lurt til å gi fra seg passord gjennom f.eks. falske nettsider eller annen form for sosial manipulering.
Passordspraying
Angriper bruker kjente eller ofte benyttede passord mot mange brukerkontoer i et forsøk på å logge på en bruker. Dette kan f.eks. gjøres ved hjelp av lister over kjente passord.
Offline brute force - lekkede passord
Angriper har fått tilgang til ett eller flere krypterte passord, og kan bruke dette til å gjette med uttømmende søk eller et svært høyt antall passord. Dette kan f.eks. være passord som stammer fra tidligere angrep hos en leverandør, der passorddatabasen har havnet på avveie.
De to viktigste tiltakene mot at passord gjettes av en angriper er å hindre at angriper kan gjøre raske, gjentatte forsøk på å gjette passordet, og påse at passordet ikke er blant de som er lettest å gjette. Lange passord eller krav til sammensetning hjelper ikke dersom passordet allerede står i en ordliste. Vær oppmerksom på at det finnes ordlister som inneholder noen milliarder tegnsammensetninger som er brukt som passord. Det må forventes at disse forsøkes tidlig i passordangrep. Å prøve alle mulige passord på 6 tegn tar lengre tid enn å prøve 1 milliard passord fra en ordliste. Det finnes over 250 milliarder kombinasjoner av 6 tegn (her basert på 80 mulige tegn, f.eks. A-å, 0-9 og 12 symboler). System som er beskyttet mot hurtig gjetting, eksempelvis at det legges inn forsinkelser eller sperring etter et antall feilaktige forsøk, vil være mer motstandsdyktig mot denne typen angrep enn system uten slik beskyttelse. Derfor kan det være akseptabelt med PIN-koder med kun tall som passord for pålogging til enheter, der det kun tillates et lite antall påloggingsforsøk før enheten sperres.
