Le mot de passe reste le mécanisme de déverrouillage le plus répandu car il ne nécessite pas d'ajout de dispositif technique.
Pour réaliser l'authentification d'une personne, il est nécessaire de mettre en œuvre un mécanisme de déverrouillage directement réalisé par cette personne, basé sur l'une des conventions « secret », « objet », « caractère » ou « savoir-faire ». Un mot de passe entre dans la catégorie « secret ».
Les risques principaux liés à l'utilisation du mot de passe sont sa divulgation et sa faiblesse.
Lorsqu'un mot de passe est utilisé, il faut que son domaine d'utilisation soit le plus restreint possible pour limiter le risque de divulgation. On cherchera donc à n'exploiter un mot de passe que localement. On associera aussi à chaque usage un mot de passe différent.
Lorsqu'un mot de passe est utilisé comme mécanisme de déverrouillage, il faut qu'il soit construit de manière à ne pas être trop sensible aux techniques de craquage connues (on parle alors de mot de passe faible).
La vérification des mots de passe faibles est malheureusement souvent ignorée des politiques de sécurité. Ainsi est-il fréquent de trouver des comptes utilisateurs avec des mots de passe triviaux, sans mot de passe ou avec des mots de passe par défaut.
