Se si utilizza la bruteforcing in base ai caratteri, si avranno circa 219 trilioni di tentativi necessari se si utilizzano solo lettere e numeri per le password di 8 caratteri di lunghezza. Questo è molto.
Con password deboli le persone si riferiscono spesso a password comunemente usate come "azerty123", "a1234567", ... o parole in un dizionario. Se si utilizza un dizionario, è possibile ridurre la quantità di password possibili fino a 1 milione, il che significa che tutto ciò che serve è 1 milione di tentativi.
Il problema più grande è che le persone tendono a riutilizzare le password attraverso i siti Web, quindi quando Adobe è stato compromesso, il loro database è trapelato. A causa del loro pessimo sistema di crittografia (non di hashing) delle password, gli autori di attacchi potrebbero generare un elenco di password comunemente utilizzate. Potrebbero ad esempio utilizzare l'indirizzo email associato per provare ad accedere a Github usando la stessa password (perché, come detto, le persone usano spesso la stessa password ovunque).