برای دهه‌ها کارشناسان امنیتی سعی کردن تا مردم را با الزام به ورود کلمات عبور با طول حداقل شش کاراکتر (معمولا هشت کاراکتر)، به علاوه حداقل یک حرف بزرگ، یک عدد، یک کاراکتر خاص (مثل @، #، یا !) به ساخت کلمات عبور قوی‌تر مجبور کنند. این رویکرد امروزه به عنوان یک شکست دیده می‌شود.