La forma en que se almacenan las contraseñas en estos días tiene cuidado de no revelar nada al atacante. La forma almacenada de la contraseña tiene una longitud fija, e incluso el propietario del sistema no puede encontrar la contraseña original que produce esta representación de longitud fija; en teoría, la única forma de saber si tiene la contraseña correcta es ingresarla y ser ha iniciado sesión correctamente.
Un ataque de diccionario de fuerza bruta intenta todas las contraseñas posibles, empezando por la cadena vacía, cada cadena de 1 carácter posible, cada cadena de 2 caracteres posible, etc.
Revelar detalles sobre contraseñas aceptables ayuda a los atacantes a modificar sus ataques. Si saben que la contraseña debe tener al menos 12 caracteres, pueden omitir aquellas partes del ataque del diccionario que tengan 11 caracteres o menos. De manera similar, si saben que tiene que haber al menos un dígito y un carácter de puntuación, pueden omitir las entradas del diccionario que no cumplan con estos criterios. (Sin embargo, estos criterios pueden ser útiles, ya que obligan a los usuarios a salir del grupo aún más bajo de contraseñas totalmente alfanuméricas).