Một mật khẩu yếu là một mật khẩu ngắn, phổ biến, một mặc định của hệ thống cung cấp, hoặc một thứ gì đó có thể bị đoán ra nhanh chóng bằng cách thực thi tấn công vét cạn sử dụng một tập con của tất cả các mật khẩu khả dĩ, như các từ trong từ điển, tên riêng, những từ dựa trên tên người dùng hoặc những biến thể thông thường của các từ đó. Mật khẩu có thể bị dễ dàng đoán được dựa trên những hiểu biết về người dùng đó, như ngày tháng năm sinh và tên thú nuôi, cũng bị xem là yếu.[1]

Các ví dụ về mật khẩu yếu:

• admin—quá dễ đoán
• 1234—quá dễ đoán
• abc123—quá dễ đoán
• minh—tên riêng thông thường
• password—đoán ra dễ dàng, rất thường dùng
• p@$$\/\/0rd -- leet và mật mã bằng ký tự đơn giản đều đã được lập trình trước trong các công cụ bẻ khóa
• rover—tên thú nuôi thông thường, cũng là một từ trong từ điển
• 12/3/75—ngày tháng, có thể quan trọng đối với cá nhân đó
• December12—Sử dụng ngày bắt buộc phải đổi mật khẩu là rất phổ biến
• nbusr123—có thể là một tên người dùng, và nếu vậy, cực kỳ dễ đoán
• asdf—chuỗi ký tự kế nhau trong nhiều loại bàn phím
• qwerty—một chuỗi ký tự kế nhau trong nhiều loại bàn phím
• aaaa—ký tự lặp đi lặp lại, dễ đoán ra

Danh sách ngắn ngủi này chỉ là những ví dụ đơn giản nhất; còn có nhiều ví dụ khác được xem là yếu vì những lý do y hệt hoặc tương tự như trên[2]. Ngoài ra, bất kỳ mật khẩu nào đã được đưa ra làm ví dụ đều bị xem là yếu, đơn giản là vì ai cũng đã biết.

3,8 % số lượng mật khẩu là những từ đơn tìm thấy trong từ điển, và 12 % khác là một từ cộng thêm một con số ở cuối; hai phần ba trong số đó là số 1.[3]

Nhiều người dùng không đổi mật khẩu mặc định đi kèm với nhiều hệ thống bảo mật máy tính. Danh sách các mật khẩu mặc định đầy rẫy trên Internet[4].

Một mật khẩu có thể trở nên dễ đoán nếu người dùng chọn một mẩu thông tin cá nhân dễ khám phá (như mã số sinh viên, tên một người bạn, sinh nhật, số điện thoại, hoặc biển số xe). Dữ liệu cá nhân về một người nào đó hiện phổ biến ở nhiều nguồn, nhiều khi còn đưa lên mạng, và thường có thể lấy được bởi người khác khi sử dụng các kỹ thuật lừa bịp, như đưa ra một bản lấy ý kiến hoặc một bản kiểm tra việc quản lý an ninh.

Nguy cơ cao nhất của việc sử dụng mật khẩu ngắn hoặc dễ đoán đó là tiếp cận hoặc tấn công từ những bạn bè của người dùng. Trong khi tên không phổ biến lắm của một con vật nuôi hoặc một nhân vật ưa thích trong trò chơi điện tử rất khó đoán đối với một người hoàn toàn xa lạ và khó tìm thấy trong từ điển, thì một người bạn khi có điều gì bất bình rõ ràng sẽ có ít lựa chọn để đoán hơn hẳn và cũng chẳng cần đến sự trợ giúp của máy tính để đoán được.

Một ví dụ của một mật khẩu nghèo nàn chống lại những kẻ tấn công "biết mặt" này có thể là "19YaleLaw78", lấy từ thông tin người này tốt nghiệp trường Luật Yale vào năm 1978. Trong khi với độ dài đến mười một ký tự và khả năng chống lại tấn công vét cạn rất tốt, năm tốt nghiệp từ một trường danh giá là một điều mà kẻ tấn công chắc chắn sẽ biết nếu biết rõ nạn nhân. Do đó, trong khi có thể khiến cho một máy tính mạnh chạy mất vài tháng để đoán được ra mật khẩu này, một đồng nghiệp đang ghen tị có thể đoán ra điều này chỉ cần vài phút với một cây viết và tờ giấy để dò các biến thể.

Một mật khẩu thường dễ bị tổn thương nếu nó bị tìm thấy trong danh sách. Từ điển ở dạng máy đọc được có rất nhiều ở nhiều ngôn ngữ khác nhau, và tồn tại những danh sách các mật khẩu thường được chọn. Trong các thử nghiệm đối với hệ thống đang hoạt động, tấn công từ điển dễ thành công tới mức phần mềm hiện thực kiểu tấn công này hiện nay phổ biến với nhiều hệ thống.

Một mật khẩu quá ngắn, có lẽ được chọn để dễ gõ, dễ bị tổn thương nếu kẻ tấn công có thể lấy được bảng mật mã của mật khẩu. Các máy tính hiện nay đủ nhanh để thử tất cả các mật khẩu toàn chữ cái ngắn hơn 7 ký tự.

Những nhân viên, lập trình viên và người quản trị hệ thống khi nghỉ việc thường biết khá rõ những mật khẩu mở hiếm khi bị đổi. Các mật khẩu dễ đoán như vậy có thể dẫn đến tổn hại nặng nề nếu bị nghịch, gian lận hoặc trả thù.