Il modo in cui le password vengono memorizzate in questi giorni fa attenzione a non rivelare nulla all'attaccante. La forma memorizzata della password ha una lunghezza fissa, e anche il proprietario del sistema non può trovare la password originale che produce questa rappresentazione a lunghezza fissa - in teoria, l'unico modo per scoprire se si ha la password corretta è di inserirlo ed essere effettuato l'accesso.
Un attacco di dizionario a forza bruta tenta ogni possibile password, a partire dalla stringa vuota, ogni stringa di 1 carattere, ogni stringa di 2 caratteri, ecc.
Rivelare dettagli sulle password accettabili aiuta gli aggressori a modificare i loro attacchi. Se sanno che la password deve essere lunga almeno 12 caratteri, possono saltare quelle parti dell'attacco dizionario che sono 11 caratteri o meno. Allo stesso modo, se sanno che deve esserci almeno una cifra e un carattere di punteggiatura, possono saltare quelle voci del dizionario che non soddisfano questi criteri. (Tuttavia, questi criteri potrebbero comunque essere utili, perché costringono gli utenti a uscire dal pool di password alfanumeriche anche più superficiali.)