Tính bảo mật của hệ thống được bảo vệ bằng mật khẩu phụ thuộc vào một số yếu tố. Hệ thống tổng thể phải được thiết kế để bảo mật tốt, với khả năng bảo vệ chống lại virus máy tính, các cuộc tấn công trung gian và tương tự. Các vấn đề an ninh vật lý cũng là một mối quan tâm, từ việc ngăn chặn việc lướt vai cho đến các mối đe dọa vật lý phức tạp hơn như máy quay video và người đánh hơi bàn phím. Mật khẩu nên được chọn sao cho kẻ tấn công khó đoán và kẻ tấn công khó phát hiện bằng cách sử dụng bất kỳ kế hoạch tấn công tự động có sẵn nào. Xem độ mạnh của mật khẩu và bảo mật máy tính để biết thêm thông tin.

Ngày nay, thông thường các hệ thống máy tính sẽ ẩn mật khẩu khi chúng được gõ. Mục đích của biện pháp này là để ngăn người ngoài đọc mật khẩu; tuy nhiên, một số ý kiến cho rằng cách làm này có thể dẫn đến sai lầm và căng thẳng, khuyến khích người dùng chọn mật khẩu yếu. Thay vào đó, người dùng nên có tùy chọn hiển thị hoặc ẩn mật khẩu khi họ nhập chúng.

Các điều khoản kiểm soát truy cập hiệu quả có thể buộc các biện pháp cực đoan đối với tội phạm tìm cách lấy mật khẩu hoặc mã thông báo sinh trắc học. Các biện pháp cực đoan hơn bao gồm tống tiền, phân tích ống cao su và tấn công kênh bên.

Một số vấn đề quản lý mật khẩu cụ thể dưới đây phải được xem xét khi suy nghĩ, lựa chọn và xử lý mật khẩu.

Tần suất kẻ tấn công có thể thử đoán mật khẩu

Tốc độ mà kẻ tấn công có thể gửi mật khẩu đoán cho hệ thống là yếu tố chính trong việc xác định bảo mật hệ thống. Một số hệ thống áp dụng thời gian chờ vài giây sau một số lượng nhỏ (ví dụ: ba) lần thử nhập mật khẩu không thành công. Trong trường hợp không có lỗ hổng khác, các hệ thống như vậy có thể được bảo mật hiệu quả với mật khẩu tương đối đơn giản, nếu chúng được lựa chọn tốt và không dễ đoán.[16]

Nhiều hệ thống lưu trữ một mật mã băm của mật khẩu. Nếu kẻ tấn công có quyền truy cập vào tệp đoán mật khẩu băm có thể được thực hiện ngoại tuyến, hãy nhanh chóng kiểm tra mật khẩu ứng viên dựa trên giá trị băm của mật khẩu thật. Trong ví dụ về máy chủ web, kẻ tấn công trực tuyến chỉ có thể đoán ở tốc độ mà máy chủ sẽ phản hồi, trong khi kẻ tấn công ngoại tuyến (có quyền truy cập vào tệp) chỉ có thể đoán ở tốc độ giới hạn bởi phần cứng của máy đang tấn công.

Mật khẩu được sử dụng để tạo khóa mật mã (ví dụ: để mã hóa ổ đĩa hoặc bảo mật Wi-Fi) cũng có thể bị đoán với tốc độ cao. Danh sách các mật khẩu phổ biến có sẵn rộng rãi và có thể làm cho các cuộc tấn công mật khẩu rất hiệu quả. (Xem Bẻ khóa mật khẩu) Bảo mật trong các tình huống như vậy phụ thuộc vào việc sử dụng mật khẩu hoặc cụm mật khẩu có độ phức tạp đầy đủ, khiến cho một cuộc tấn công như vậy không thể tính toán được cho kẻ tấn công. Một số hệ thống, chẳng hạn như PGP và Wi-Fi WPA, áp dụng hàm băm chuyên sâu tính toán cho mật khẩu để làm chậm các cuộc tấn công như vậy. Xem kéo dài khóa.

Giới hạn về số lần đoán mật khẩu

Một cách khác để giới hạn tốc độ mà kẻ tấn công có thể đoán được mật khẩu là giới hạn tổng số lần đoán có thể được thực hiện. Mật khẩu có thể bị vô hiệu hóa, yêu cầu đặt lại, sau một số ít dự đoán sai liên tiếp (giả sử là 5); và người dùng có thể được yêu cầu phải thay đổi mật khẩu sau số lần đoán sai tích lũy lớn hơn (giả sử 30), để ngăn kẻ tấn công tạo ra một số lượng lớn các dự đoán sai tùy ý bằng cách xen kẽ chúng giữa các dự đoán tốt do chủ sở hữu mật khẩu hợp pháp đưa ra.[17] Kẻ tấn công có thể sử dụng kiến thức về giảm thiểu này để thực hiện một cuộc tấn công từ chối dịch vụ chống lại người dùng bằng cách cố ý khóa người dùng khỏi thiết bị của họ; sự từ chối dịch vụ này có thể mở ra những con đường khác để kẻ tấn công thao túng tình hình thành lợi thế của chúng thông qua kỹ thuật xã hội.

Hình thức mật khẩu được lưu trữ

Một số hệ thống máy tính lưu trữ mật khẩu người dùng dưới dạng văn bản thô, dựa vào đó để so sánh các nỗ lực đăng nhập của người dùng. Nếu kẻ tấn công giành được quyền truy cập vào kho lưu trữ mật khẩu nội bộ như vậy, thì tất cả mật khẩu và tất cả các tài khoản người dùng sẽ bị xâm phạm. Nếu một số người dùng sử dụng cùng một mật khẩu cho các tài khoản trên các hệ thống khác nhau, những hệ thống đó cũng sẽ bị xâm phạm.

Các hệ thống an toàn hơn lưu trữ từng mật khẩu ở dạng được bảo vệ bằng mật mã, do đó, việc truy cập vào mật khẩu thực tế sẽ vẫn khó khăn đối với một kẻ rình mò có quyền truy cập nội bộ vào hệ thống, trong khi vẫn có thể xác thực các nỗ lực truy cập của người dùng. Các hệ thống an toàn nhất không lưu trữ mật khẩu, mà chỉ có dẫn xuất một chiều, chẳng hạn như đa thức, mô đun hoặc hàm băm nâng cao.[12] Roger Needham đã phát minh ra cách tiếp cận phổ biến hiện nay là chỉ lưu trữ một dạng "băm" của mật khẩu văn bản gốc.[18][19] Khi người dùng nhập mật khẩu trên một hệ thống như vậy, phần mềm xử lý mật khẩu sẽ chạy qua thuật toán băm mật mã và nếu giá trị băm được tạo từ mục nhập của người dùng khớp với hàm băm được lưu trữ trong cơ sở dữ liệu mật khẩu, người dùng được phép truy cập. Giá trị băm được tạo bằng cách áp dụng hàm băm mật mã cho một chuỗi bao gồm mật khẩu được gửi và, trong nhiều triển khai, một giá trị khác được gọi là muối (salt). Một giá trị muối ngăn chặn kẻ tấn công dễ dàng xây dựng một danh sách các giá trị băm cho mật khẩu phổ biến và ngăn chặn các nỗ lực bẻ khóa mật khẩu trên tất cả người dùng. MD5 và SHA1 là các hàm băm mật mã được sử dụng thường xuyên nhưng chúng không được khuyến nghị để băm mật khẩu trừ khi chúng được sử dụng như một phần của cấu trúc lớn hơn như trong PBKDF2.