إن الإنترنت مليء بالأمثلة السيئة التي ترتكب من قبل العلامات التجارية الكبرى، و من مواقع قامت بخذلان مستخدميها من خلال السياسات والممارسات السيئة لكلمات المرور.
هذا وقد وضح آتوود انعدام الفائدة من سياسات كلمة المرور في منشور بعنوان كلمات المرور هي مجرد هراء ، لافتاً إلى ثلاث مواقع دلت على حجم هذه المشكلة.
حيث أنه سلط الضوء على ضرورة أن تكون السياسات المتبعة باختيار كلمة المرور تؤدي بالناس في نهاية المطاف إلى استخدام كلمات السر العشوائية والطويلة، بدلاً من تشجيعهم على اختيار كلمات مرور قصيرة وسهلة الاختراق.
وكتب : في أيامنا هذه ، ونظراً لحالة الحوسبة السحابية والتجزئة ، فإن أي كلمة تتألف من ثمانية أحرف أو أقل لا تعتبر كلمة مرور على الإطلاق .
ويذكر أن الرقم ثمانية هو الرقم الذي حدده آتوود كحد أدنى لكلمة المرور في موقعه منذ عامين، ومنذ ذلك الوقت قام بتحديث سياسات كلمة المرور لتصبح 10 أرقام كحد أدنى بالنسبة لكلمات المرور الخاصة بالمستخدمين، و 15 بالنسبة لمدراء الموقع والمشرفين.
ومع ذلك، أشار إلى أن هذه القواعد التي تنص على استخدام كلمات مرور طويلة لا تتطلب بالضرورة من المستخدمين إنشاء كلمات مرور فريدة من نوعها، حيث سيقوم المستخدمين حينها باختيار كلمات مرور غير صالحة للالتفاف على المتطلبات.
وأما القواعد التي تحاول فرض امتثالات عالية في كلمات المرور، مثل تلك التي تنص على وجود حرف واحد كبير على الأقل، و حرف واحد صغير ، و عدد، وطابع خاص، لا تخدم المستخدم بشكل جيد، لا سيما إذا كانت هذه القواعد تمنع الناس من استخدام كلمات مرور عشوائية.ومع ذلك، وجدت أبحاثه في مجال كلمات السر المسربة أن طول كلمة السر هي عامل مهم، على سبيل المثال، خمسة فقط من أصل 25 كلمة مرور كانت تحتوي على 10 أحرف.
ونصح المستخدمين بتجنب إعصاء السياسات المتبعة في تحديد كلمات المرور، ونصح المطورين بفرض الحد الأدنى من طول كلمة السر.
كما نوه إلى أن بعض المواقع تفرض كلمات مرور تحتوي على 10 رموز كحد أدنى ولكنها تسمح للمستخدمين باختيار كلمات مرور ذات رموز متماثلة مثلاً :aaaaaaaaaa.
وأخيراً ، يجب على المطورين منع كلمات السر التي تتناول جمل معينة ، مثل تلك التي تتناول اسم المستخدم أو عنوان البريد الإلكتروني للمستخدم، أو تلك التي تستخدم اسم الموقع أو التطبيق.