Connaissant la taille maximale d'un mot de passe et l'espace des caractères qui peuvent le composer, il s'agit de calculer l'empreinte cryptographique de toutes les combinaisons possibles et de les comparer à celles enregistrées dans le système de contrôle des mots de passe.

Statistiquement, on doit en moyenne parcourir la moitié de l'espace des mots de passe pour trouver le bon.

Si un mot de passe utilise minuscules, majuscules et chiffres soit 62 caractères, rajouter un caractère au mot de passe multiplie le temps de calcul par 62. Rajouter des caractères au mot de passe est donc rapidement très efficace.

En effet, des attaques exhaustives énumérant toutes les clés cryptographiques d'un espace aléatoire de 64 bits ont déjà été réalisées au niveau de la recherche universitaire. Or un tel espace est de taille comparable à celui d'un mot de passe correctement formé. C'est pourquoi le déverrouillage par mot de passe doit être complété par d'autres moyens pour des applications de haute sensibilité.

En pratique, un mot de passe alphanumérique [A-Za-z0-9] de 10 caractères correspond à un espace de mots de passe d'environ 260 possibilités, soit plus de 1 milliards de milliards de possibilités. Les interdire pour obliger à utiliser un mot de passe avec caractères spéciaux revient à retrancher cet espace de l'espace total de 265 bits, ce qui donne un espace résultant de 264,95 bits, soit plus de 35 milliards de milliards de possibilités. Il est donc en pratique plus intéressant de contraindre les mots de passe que de courir le risque qu'un utilisateur choisisse un mot de passe « faible ».