Om zich in te dekken tegen de aansprakelijkheid bij beveiliging- en privacylekken, eisen veel internetondernemers dat de klant zelf een gebruikersnaam of een e-mail adres (immers altijd uniek) en een specifiek bijbehorend, liefs regelmatig wisselend, paswoord kiest. Er worden dan wat eisen gesteld aan het aantal en soort karakters; maar dit is slechts schijnveiligheid, de gemiddelde Nederlander heeft wellicht 30 van dergelijke "accounts" en komt niet verder dan een huisdier met een volgnummer als zijn paswoord (hiervoor werd in de 70'er jaren al gewaarschuwd). Of hij/zij is het zat zoveel verschillende paswoorden te onthouden (of verstoppen), geeft het op en gebruikt maar één paswoord voor alles. De zogeheten "paswoord managers" lijken een oplossing, maar dan mag daarmee ook niets misgaan!
Een extra beveiliging op met paswoord beveiligde "accounts" bij kwetsbare situaties is de "Two-Factor Authentication" (TFA). Hierbij worden twee verschillende factoren gecombineerd, bijvoorbeeld een wachtwoord en een eenmalig verzonden code via e-mail of SMS. Het "DigID" van de Rijksoverheid is ook een dergelijk systeem.
Regelmatig horen we bij het nieuws dat er weer een grote "professionele organisatie" de paswoorden in het klantenbestand onversleuteld heeft opgeslagen en dat malafide "hackers" ze te koop aanbieden. Gebruikers van dergelijke diensten die hetzelfde paswoord gebruiken voor meerdere (of alle) accounts, kunnen er op rekenen dat er getracht zal worden het verkregen paswoord op andere voor de hand liggende diensten te testen.