เอนโทรปีข้อมูลของคำภาษาอังกฤษจริง ๆ จะน้อยกว่า 1.1 บิต/อักษร[2]พาสเฟรซจึงค่อนข้างอ่อนแอสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST) ประเมินว่า พาสเฟรซยาว 23 อักษร คือ "IamtheCapitanofthePina4" มีเอนโทรปี 45 บิตสูตรที่ใช้คำนวณก็คือ[3]

(ค่าคำนวณนี้ไม่ได้พิจารณาว่า นี่เป็นวลีที่รู้จักกันดีจากอุปรากร เอชเอ็มเอส พินนาฟอร์)

ค่าแฮชแบบ MD5 ของพาสเฟรซนี้จะเจาะได้ภายใน 4 วินาทีโดยใช้เว็บไซต์ crackstation.net ซึ่งเร็วมาก จึงชี้ว่าวลีนี้มีอยู่ในฐานข้อมูลที่มีเพื่อใช้เจาะรหัสผ่านแล้ว

เมื่อใช้แนวทางนี้ เพื่อให้ได้ความเข้มแข็ง 80 บิตเพื่อความมั่นคงในระดับสูง (พลเรือน) ตามมาตรฐานของ NIST พาสเฟรซจะต้องมีอักษร 58 ตัวโดยสมมุติว่า จะมีอักษรทั้งตัวเล็กตัวใหญ่และตัวเลข

ยังถกเถียงกันว่าสูตรนี้ถูกต้องหรือไม่ โดยจำนวนบิตที่ระบุอาจไม่ตรงกันเช่นมีผู้ระบุว่า คำที่มีอักษร 5 ตัว จะมีเอนโทรปี 2.3 บิต/อักษร ดังนั้น จึงต้องใช้พาสเฟรซที่มีอักษรเพียงแค่ 35 ตัวเท่านั้นเพื่อให้ได้ 80 บิต[4]

ถ้าคำหรือส่วนประกอบของพาสเฟรซ พบได้ในพจนานุกรมโดยเฉพาะฉบับอิเล็กทรอนิกส์ที่สามารถใช้เป็นอินพุตของโปรแกรมคอมพิวเตอร์ได้ พาสเฟรซก็จะอ่อนแอต่อการโจมตีโดยพจนานุกรมยิ่งขึ้น ซึ่งเป็นปัญหาเพิ่มถ้าพาสเฟรซทั้งวลีสามารถพบได้ในหนังสือคำคมหรือหนังสือที่รวบรวมวลี อย่างไรก็ดี ก็อาจต้องใช้ความพยายามมากกว่าที่จะนำไปปฏิบัติได้ทั้งโดยเวลาและโดยค่าใช้จ่ายถ้ามีคำในพาสเฟรซมากพอ ถ้าเลือกคำโดยสุ่ม และถ้าจัดลำดับคำโดยสุ่มจำนวนวลีผสมที่ต้องทดลองอาจจะทำให้การโจมตีด้วยพจนานุกรมยากจนเป็นไปไม่ได้ อนึ่ง การเลือกคำคำหนึ่งที่ไม่พบเลยในพจนานุกรมใด ๆ ก็จะเพิ่มความแข็งแกร่งของพาสเฟรซอย่างสำคัญ

เมื่อมนุษย์เป็นผู้เลือกพาสเฟรซ ปกติก็จะนิยมใช้คำที่เกิดบ่อย ๆ ในภาษาธรรมชาติ ในกรณีที่มี 4 คำ เอนโทรปีจริง ๆ โดยมากก็จะไม่เกิน 30 บิตเทียบกับการเลือกรหัสผ่านที่มักจะอ่อนแอยิ่งกว่านั้น ดังนั้น การสนับสนุนให้ผู้ใช้เลือกพาสเฟรซแม้เพียงแค่สองคำก็อาจเพิ่มเอนโทรปีจากน้อยกว่า 10 บิตให้ถึงยิ่งกว่า 20 บิต[5]

ยกตัวอย่างเช่นโปรแกรมเข้ารหัสลับมาตรฐาน OpenPGP บังคับให้ผู้ใช้สร้างพาสเฟรซที่ต้องใส่เมื่อถอดรหัสลับหรือเซ็นรองรับข้อความบริการทางอินเทอร์เน็ตเช่น Hushmail ให้บริการอีเมลเข้ารหัสลับ หรือแชร์ไฟล์ที่เข้ารหัสลับ แต่ความมั่นคงจะขึ้นอยู่กับคุณภาพของพาสเฟรซที่เลือกเกือบทั้งหมด