Viele Firmen bestehen darauf, dass starke Authentifizierungsverfahren vor allem in online Transaktionen verwendet werden, die Zahlungsdienste einschließen. Dabei hat jedoch die starke Authentifizierung verschiedene Definitionen. Gemäß einigen Autoren bezieht sich dieser Begriff auf die Multi-Faktor-Authentifizierung, die zwei oder mehr der drei Faktorkategorien verwenden: Wissen, Besitz und Inhärenz, die schon im Kapitel 1.3 angeführt wurden. Andere Autoren (A. J. Menezes, P. C. van Oorschot und S. A. Vanstone) glauben, dass solche Authentifizierung kryptographische Challenge-Response-Verfahren erfordern, mehr dazu in [11]. Auf jedem Fall kann ein starkes Authentifizierungsprotokoll mit der Übertragung von Passwörtern nicht erreicht werden.
Man soll sich dabei bewusst sein, dass die Zuverlässigkeit der Authentifizierung nicht nur von der Anzahl der eingesetzten Faktoren, sondern auch von der Art ihrer Implementierung abhängt. Die Wahl der Authentifizierungsregeln bestimmt die Sicherheit jedes Faktors. Beispielsweise, schwache oder keine Regeln für Passwörter können die Verwendung von Passwörtern wie „Gast“ erlauben und dann wird der Beitrag der Passwörter ganz annulliert. Bewährte Verfahren fordern inhärent starke Passwörter, die regelmäßig aktualisiert werden. Laxe Regeln und Implementierung führt zu einer schwachen Sicherheit, andererseits stellen bessere Regeln eine höhere Sicherheit der einzelnen Faktoren und eine bessere gesamte Sicherheit für Multi-Faktor-Authentifizierungssysteme sicher.
Wenn Passwörter benutzt werden, sollen hochwertige Passwortgrundsätze durchgesetzt werden, um Erraten und Cracken von Passwörtern vorzubeugen. Die Entwicklung des Passwortknackens vereinfachte es den Hackern, die Passwörter zu „erraten“. Es stehen auch zahlreiche Tools dafür zur Verfügung, dass jede Person verwenden kann. Leider verwenden durchschnittliche Benutzer eher Passwörter, an die man sich einfach erinnert, als die, die schwierig zu erraten sind.
Das Knacken von Passwörtern ist ein Prozess zum Herausfinden oder Entschlüsseln der Passwörter, um einen unautorisierten Zugriff auf ein System oder Konto zu erwerben. Passwörter können auf verschiedene Weisen geknackt werden. Die einfachste ist die Brute-Force-Methode mit dem Einsatz einer Liste von Wörtern oder eines Wörterbuchprogramms. Diese Programme vergleichen Listen von Wörtern oder Zeichenkombinationen mit dem Passwort, bis sie eine Übereinstimmung finden. Daraus folgt, dass Passwörter keine Wörter aus Wörterbüchern, keine Eigennamen oder keine Fremdwörter sein können.
Das Passwortknacken kann auch zur Sicherstellung verwendet werden, dass die Benutzer starke Passwörter haben. Systemadministratoren können damit die Stärke der Benutzerpasswörter testen und die Benutzer warnen, welche unsichere Passwörter haben.
Darüber hinaus können Passwörter durch Social Engineering herausgefunden werden. Viele Benutzer erstellen Passwörter mit persönlichen Information. Solche Passwörter können erraten werden, wenn man nur ein wenig über den Benutzer weiß. Daher sollen Passwörter keine persönlichen Informationen enthalten.
Viele Benutzer speichern ihre Passwörter in Dateien. Dann sollen diese Dateien verschlüsselt werden, um die Auswirkung von Passwort-Sniffing zu mildern. Diese Empfehlung gilt jedoch nicht nur für Passwortdateien, sondern auch für alle Dateien mit sensiblen Informationen.