Il arrive qu'un site Internet ou une entreprise se fasse voler sa base de données des utilisateurs. Celle-ci contient généralement les mots de passe dans un format "masqué" via un algorithme de hashage. Le voleur peut tenter une attaque sur les mots de passe en essayant toutes les combinaisons possibles. Le temps nécessaire pour trouver le mot de passe dépend de la puissance de la machine, de l'algorithme de hashage et de la qualité du mot de passe.
Il est aussi possible de tenter une attaque directe sur un site Internet ou un service en ligne. Dans ce cas, l'attaquant doit connaître l'identifiant utilisé et tentera toutes les combinaisons possibles pour le mot de passe. Le temps nécessaire pour trouver le mot de passe dépend alors de la puissance des serveurs hébergeant le site Internet ou le service en ligne ainsi que des éventuelles protections (limite du nombre d'authentification par heure...).