Thông thường, mật khẩu dễ nhớ hơn đối với chủ sở hữu có nghĩa là kẻ tấn công sẽ dễ đoán hơn.[10] Tuy nhiên, mật khẩu khó nhớ cũng có thể làm giảm tính bảo mật của hệ thống vì (a) người dùng có thể cần ghi lại hoặc lưu trữ mật khẩu điện tử, (b) người dùng sẽ cần đặt lại mật khẩu thường xuyên và (c) người dùng có nhiều khả năng sử dụng lại cùng một mật khẩu trên các tài khoản khác nhau. Tương tự, các yêu cầu mật khẩu càng nghiêm ngặt, chẳng hạn như "có sự pha trộn giữa chữ hoa và chữ thường và chữ số" hoặc "thay đổi hàng tháng", mức độ mà người dùng sẽ lật đổ hệ thống càng lớn.[11] Những người khác tranh luận mật khẩu dài hơn cung cấp bảo mật hơn (ví dụ: entropy) so với mật khẩu ngắn hơn với nhiều loại ký tự.[12]

Trong Khả năng ghi nhớ và bảo mật của mật khẩu, Jeff Yan et al. kiểm tra hiệu quả của lời khuyên dành cho người dùng về một lựa chọn tốt về mật khẩu. Họ phát hiện ra rằng mật khẩu dựa trên suy nghĩ của một cụm từ và lấy chữ cái đầu tiên của mỗi từ cũng đáng nhớ như mật khẩu được chọn một cách ngây thơ và khó bị bẻ khóa như mật khẩu được tạo ngẫu nhiên.

Kết hợp hai hoặc nhiều từ không liên quan và thay đổi một số chữ cái thành ký tự hoặc số đặc biệt là một phương pháp tốt khác,[13] nhưng một từ trong từ điển thì không. Có một thuật toán được thiết kế cá nhân để tạo mật khẩu tối nghĩa là một phương pháp tốt khác.

Tuy nhiên, yêu cầu người dùng nhớ mật khẩu bao gồm "kết hợp các ký tự viết hoa và viết thường" tương tự như yêu cầu họ nhớ một chuỗi bit: khó nhớ và chỉ khó hơn một chút để bẻ khóa (ví dụ khó hơn 128 lần bẻ khóa mật khẩu 7 chữ cái, ít hơn nếu người dùng chỉ cần viết hoa một trong các chữ cái). Yêu cầu người dùng sử dụng "cả chữ cái và chữ số" thường sẽ dẫn đến những sự thay thế dễ đoán như 'E' → '3' và 'I' → '1', những sự thay thế được biết đến với những kẻ tấn công. Tương tự gõ mật khẩu trên một một hàng bàn phím cao hơn để thay đổi chữ là một mẹo mật khẩu mà những kẻ tấn công cũng biết.[14]

Vào năm 2013, Google đã công bố danh sách các loại mật khẩu phổ biến nhất, tất cả đều được coi là không an toàn vì chúng quá dễ đoán (đặc biệt là sau khi nghiên cứu một cá nhân trên phương tiện truyền thông xã hội):[15]

• Tên của vật nuôi, trẻ em, thành viên gia đình hoặc quan trọng khác
• Ngày kỷ niệm và sinh nhật
• Nơi sinh
• Tên của một kỳ nghỉ yêu thích
• Một cái gì đó liên quan đến một đội thể thao yêu thích
• Từ "password", "mật khẩu"