La fuerza de una solución de cifrado está directamente relacionada con la cantidad de contraseñas posibles. Un ataque de fuerza bruta simplemente prueba todas las contraseñas posibles para que tenga éxito más rápidamente si la cantidad de contraseñas distintas es menor. La falta de sensibilidad de mayúsculas y minúsculas significa que el atacante solo tiene que probar contraseñas en minúsculas ya que 'EJEMPLO', 'eXamplE' y 'ExAmPlE' se verán como la misma contraseña que 'ejemplo'.
El número de intentos requeridos para un ataque de fuerza bruta es aproximadamente la mitad del número total de contraseñas posibles, que se calcula al llevar el número de caracteres distintos a la longitud de la contraseña. Un ejemplo típico de conjunto de caracteres es mayúsculas, minúsculas, dígitos y caracteres especiales, que pueden agregar hasta 96 caracteres distintos. Eliminar mayúsculas disminuiría el número de contraseñas en este ejemplo de 96 a 70, asumiendo que los otros tres tipos están incluidos. Por lo tanto, para una contraseña de 8 caracteres, este cambio debilitaría la fortaleza de la contraseña en un factor de aproximadamente 12.5. [Eso es 96 ^ 8/70 ^ 8.]
En una situación en la que ha disminuido la complejidad de la contraseña, es mucho más importante que use una contraseña larga. Es un punto sutil, pero la complejidad disminuida erosiona el valor de la longitud adicional. Por ejemplo, 96 ^ 9/70 ^ 9 es aproximadamente 17.2, por lo que pasar de contraseñas de 8 caracteres a contraseñas de 9 caracteres es más efectivo si las contraseñas también son más complejas.