โดยทั่วไปเรามักจะได้ยินว่าหลักการตั้งรหัสผ่านให้ปลอดภัยควรใช้ตัวอักษรผสมกับตัวเลขและอักขระพิเศษ เพื่อให้เป็นคำที่ไม่อยู่ในพจนานุกรมและยากต่อการคาดเดา อย่างไรก็ตาม นักวิจัยได้พบว่าเมื่อวิเคราะห์ข้อมูลจากเว็บไซต์ Have I Been Pwned (HIBP) ซึ่งเป็นเว็บไซต์ที่รวบรวมฐานข้อมูลของรหัสผ่านที่ถูกเผยแพร่แล้วนั้น พบว่ามีผู้ใช้จำนวนมากตั้งรหัสผ่านเป็นคำว่า ji32k7au4a83 ซึ่งหากดูเผินๆ แล้วรหัสผ่านนี้น่าจะมีความปลอดภัย แต่ที่จริงแล้วสามารถคาดเดาได้ง่ายมาก

ที่มาของรหัสผ่าน ji32k7au4a83 เกิดจากการใช้แป้มพิมพ์ภาษาจีน (Zhuyin keyboard) เพื่อพิมพ์คำว่า MYPASSWORD โดยหลักการทำงานของคีย์บอร์ดประเภทนี้คือใช้การผสมอักขระให้เป็นตัวอักษร (ji32K7au4a83 -> 我的密碼 -> MYPASSWORD)

ที่ผ่านมา ในประเทศไทยเองก็พบว่ามีผู้ใช้หลายคนตั้งรหัสผ่านเป็นข้อความภาษาไทยแต่พิมพ์ด้วยแป้นภาษาอังกฤษ ซึ่งผลที่ได้จะเป็นรหัสผ่านที่มีทั้งตัวอักษรตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษ อย่างไรก็ตาม การตั้งรหัสผ่านด้วยวิธีนี้อาจมีข้อจำกัดเมื่อต้องพิมพ์ด้วยแป้นที่ไม่มีภาษาไทยหรือพิมพ์ในโทรศัพท์มือถือ อีกทั้งการตั้งรหัสผ่านด้วยวิธีแบบนี้อาจไม่ได้ช่วยให้คาดเดาได้ยากอย่างที่เข้าใจ เนื่องจากหากต้องการแคร็กรหัสผ่านก็สามารถใช้วิธีเทียบตำแหน่งข้อความภาษาไทยกับแป้นภาษาอังกฤษได้

หน่วยงาน NIST ของสหรัฐ ได้มีข้อแนะนำการตั้งรหัสผ่านให้ปลอดภัย (NIST SP 800-63-3) โดยควรมีความยาวอย่างน้อย 8 ตัว เป็นรหัสผ่านที่ผู้ใช้จำได้ ไม่ซ้ำกับที่เคยใช้ในบริการอื่นๆ หรือในฐานข้อมูลรหัสผ่านที่เคยถูกเผยแพร่มาแล้ว นอกจากนี้ เพื่ออำนวยความสะดวกในการจัดการรหัสผ่านจำนวนมาก อาจพิจารณาใช้โปรแกรมจัดการรหัสผ่าน (เช่น KeePass) รวมถึงเปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอนร่วมด้วย