Aanvallers die bruteforce gebruiken om toegang tot systemen en servers te krijgen proberen alleen korte wachtwoorden, zo stelt Ross Bevington, een beveiligingsonderzoeker bij Microsoft. Bevington analyseerde meer dan 25 miljoen bruteforce-aanvallen via SSH op een honeypot-systeem.
77 procent van deze aanvallen probeerde een wachtwoord van 1-7 karakters. Bij slechts 6 procent van de aanvallen werd een wachtwoord van meer dan 10 karakters geprobeerd. 30 procent van alle wachtwoorden gebruikt bij de onderzochte bruteforce-aanvallen is 6 karakters lang.
Verder ontdekte Bevington dat slechts 7 procent van de bruteforce-aanvallen een speciaal teken bevatte. Het gebruik van tenminste één cijfer kwam bij 39 procent van de aanvallen voor. Tevens laat Bevington weten dat geen van de wachtwoorden die aanvallers gebruikten een spatie bevatte.