過去にLinkedInから流出したパスワードについてセキュリティ企業Preemptが調査したところ、約35%にあたる63,588,381件が既にパスワードクラック用の辞書に含まれるものだったそうだ（Preemptのブログ、BetaNews）。

Preemptでは具体的な流出時期などを明記していないが、件数からみて2012年に発生したLinkedInの情報流出に伴って取得され、昨年5月に1億6,700万件が販売されていると報じられたアカウント情報のようだ。

パスワードクラック用の辞書に載っているのであれば、パスワードの複雑さは意味をなさない。パスワードを再利用する人も多いため、過去に流出したパスワードを再度設定してしまう可能性もある。組織内のシステムではパスワードの有効期限が無効化されていることも多く、複数のユーザーがパスワードを共有したり、そのパスワードを外部サービスに設定したりすることで、パスワードが流出する可能性や、既に流出しているパスワードを使用する可能性が増す。

また、パスワードには大文字小文字の英字と記号、数字（ULSD）を組み合わせることが推奨されるが、大文字から始めて数字で終わるといったパターンが多くのパスワードで使われているという。個人的なデータや日常的に使われる単語を含める人も多い。そのため、企業内のパスワードの大半は、上位100パターンでクラックできるものが多いそうだ。

Preemptの調査によれば、特にセキュリティに注力している組織を除き、90%以上の組織が8桁よりも長いパスワードを要求せず、10桁以内のパスワードが多く使われているとのこと。標準的なハードウェアでULSDを組み合わせた10桁のパスワードをクラックするのに要する時間は、よくあるパターンを使ったものでは1週間以内なのに対し、よくあるパターンを避けたものでは1か月近くかかるとのことだ。