Experti zo spoločnosti Kaspersky Lab predpokladajú, že najväčšou zraniteľnosťou hesiel je ich opätovné použitie. Ako ukázal nedávny únik viac ako 700 miliónov emailových adries a miliónov nezašifrovaných hesiel, dáta sa dajú ľahko skombinovať a použiť v útokoch typu „credential stuffing“, pri ktorých hackeri pracujú s kombináciami emailov a hesiel obetí, aby sa dostali do iných ich účtov, kde používajú rovnaké heslo.
Bezpečnostný analytik spoločnosti David Jacoby tvrdí, že zmena hesla riziko neznižuje. Dôležitá je sila hesla, ktorá by nemala byť postavená na jeho zložitosti, ale na jedinečnosti. Mnohým nie je úplne jasné, čo silné heslo v skutočnosti znamená.
Niektoré webové stránky vyžadujú zložité heslá, ktoré obsahujú najmenej osem alebo viac veľkých a malých písmen, čísel a špeciálnych znakov. Veľa používateľov si myslí, že práve to je „silné" heslo, a v tom je problém.
Podľa experta je dobrou správou, že silné nemusí znamenať „strašné“. Pri pohľade na problém z hľadiska bezpečnosti možno zistiť, že heslá sú všeobecne silné, ak sú jedinečné pre majiteľa účtu a používané pre jeden účet.