* Afweging tussen memorabiliteit en complexiteit: Wachtwoorden moeten gemakkelijk te onthouden zijn, zodat de gebruiker ze daadwerkelijk kan gebruiken, maar gemakkelijk te onthouden wachtwoorden zijn vaak zwak en raadbaar. Dit leidt ertoe dat gebruikers eenvoudige wachtwoorden kiezen of deze voor meerdere accounts hergebruiken.

* Wachtwoorden hergebruiken: Mensen hergebruiken vaak hetzelfde wachtwoord (of kleine variaties) op meerdere websites en services. Als een van deze services wordt gecompromitteerd, worden alle accounts die dat wachtwoord gebruiken kwetsbaar.

* Phishing en social engineering: Aanvallers kunnen gebruikers ertoe verleiden hun wachtwoord te onthullen via phishing-e-mails, nepwebsites of social engineering-tactieken.

* Wachtwoordopslag en -beheer: Gebruikers kunnen hun wachtwoorden opschrijven, deze op onveilige locaties opslaan (zoals een gewoon tekstbestand) of zwakke wachtwoordbeheerders gebruiken.

* Gehackte apparaten: Als het apparaat van een gebruiker is geïnfecteerd met malware, kan de malware wachtwoorden stelen die op het apparaat zijn opgeslagen.

* Zwakke wachtwoordcreatie: Gebruikers kunnen wachtwoorden kiezen die gemakkelijk te raden zijn, zoals woordenboekwoorden, gewone namen of voorspelbare patronen.

* Gegevenslekken: Zelfs als een gebruiker een sterk wachtwoord heeft, kan dit in gevaar komen als de website of dienst die hij gebruikt een datalek ondervindt.

Hoewel een sterk wachtwoordbeleid en technische veiligheidsmaatregelen sommige van deze risico's kunnen beperken, blijft menselijk gedrag de zwakste schakel in wachtwoordbeveiliging. Dit is de reden waarom multi-factor authenticatie (MFA) zo belangrijk is, omdat het een extra beveiligingslaag toevoegt die verder gaat dan alleen het wachtwoord.