Tzv. „password spraying“ je metoda, při kterém se útočníci snaží přihlásit k účtům zadáním jednoduchého hesla – například „1234“. Tento postup přitom zkoušejí u různých uživatelských jmen. Tím se vyhnou uzamčení účtů, ke kterému by při brute-force útoku, při němž útočníci používají vlastní slovník nebo seznam slov a pokoušejí proniknout do malého počtu účtů, mohlo dojít.
Útočníci mohou také využít údaje z předchozích úniků dat, a využít tak taktiku nazývanou „credential stuffing”. U ní spoléhají na to, že lidé opakovaně používají hesla a uživatelská jména napříč různými online službami.