Se nel report appaiono password semplici e i criteri di complessità in uso nella rete sono più restrittivi, il cliente può essere portato a pensare di essere al sicuro.
Questo in realtà non è vero perché esistono diversi modi (anche automatici, come i framework di Metasploit) per complicare la password non sicura in un attacco brute force.
Gli utenti sono infatti spesso portati a utilizzare la stessa tipologia di password (o addirittura riciclarle) per le proprie credenziali personali e di lavoro, variando o aggiungendo solo alcuni caratteri per rispettare i criteri di complessità.
Se la policy interna richiede una lettera maiuscola e un carattere speciale o di punteggiatura, è facile che l'utente scelga una password che già usa, aggiungendoci una maiuscola e un punto esclamativo. Ad esempio, per una password esposta "cowboys", le variazioni più probabili saranno "Cowboys!", "Cowboys1", "Cowboys!1" e così via.
Inoltre, se la password esposta è la data di nascita, è facile per un attaccante partire da quella aggiungendo altri caratteri prima o dopo per trovarne una più complicata che usi la data come punto di partenza, riducendo il tempo necessario a indovinare la password completa.
Gli hacker hanno ben presenti questi comportamenti, quindi utilizzano script ad hoc per coprire più varianti possibili e ottenere l'accesso ai sistemi.
