Slechteriken proberen ook in servers in te breken. Bij Google, banken, overheden en eigenlijk alle bedrijven waarvan ze denken dat er "nuttige" gegevens te stelen zijn. Soms met succes.
Hoewel de wachtwoorden meestal versleuteld zijn opgeslagen zijn er toch mogelijkheden om achter het echte wachtwoord te komen als het wachtwoord versleuteld is. (Er bestaan lijsten met zo'n 5 miljoen versleutelde wachtwoorden waarin het echte wachtwoord bekend is)
Lukt het de slechterik om zo'n server te kraken en een lijst met gebruikersnamen en gecodeerde wachtwoorden te pakken te krijgen dan gaat hij eerst naar de 'bekende' gecodeerde wachtwoorden zoeken.
Een wachtwoord zoals '123456' of 'geheim' staan zeker in deze in de lijst. Gebruik daarom sterke wachtwoorden. Als je wachtwoord dan gestolen wordt is de kans dat die in zo'n lijst staat uiterst klein.
Als voorbeeld het versleutelde wachtwoord e10adc3949ba59abbe56e057f20f883e. Dit lijkt abracadabra maar is de versleutelde code voor het wachtwoord '123456'.
Daarom wordt er geadviseerd een wachtwoord te kiezen dat niet voor de hand ligt. Wordt er dan op een server ingebroken en worden de lijsten met gebruikersnamen en gecodeerde wachtwoorden gestolen dan zal dat gecodeerde wachtwoord niet in de bekende lijsten staan en wordt het eigen account niet gehackt.
Bij het aanmaken van accounts wordt er meestal om een e-mail adres gevraagd en een wachtwoord. Het is verleidelijk om het wachtwoord hetzelfde te kiezen als die van het e-mailaccount. Doe dit niet, houdt het wachtwoord van belangrijke accounts zoals van de bank, DigiD, e-mail enz. uniek.