Un mot de passe est bon quand il exploite au maximum les possibilités de choix laissées par le mécanisme de déverrouillage pour qu'il soit plus difficile à retrouver, soit directement, soit par « ingénierie sociale », soit à l'aide d'outils automatisés. Un mot de passe est d'autant plus faible qu'il est court ou qu'il est composé à partir d'un alphabet réduit.
Sur un simple PC un outil de « craquage par force brute » mettrait environ 1 heure pour craquer un mot de passe de 8 caractères alphabétiques [A-Z]. Mais il faudrait environ 1 mois à ce même PC pour craquer un mot de passe de 10 caractères alphabétiques ou un mot de passe de 8 caractères alphanumériques [A-Za-z0-9].
Avec les capacités techniques actuelles, la taille d'un mot de passe doit être d'au moins 10 caractères non signifiants, composés de lettres majuscules, minuscules, de chiffres et si possible de caractères spéciaux. Pour des applications de haute sensibilité, le déverrouillage doit être complété par d'autres moyens qu'un mot de passe.
Sur certains dispositifs comme les cartes à puce ou les BIOS, le choix du mot de passe est techniquement limité. Il convient dans ce cas de s'approcher le plus possible des recommandations précédentes.
