Gli attacchi crittografici prendono di mira l’algoritmo di crittografia o di hash. Si presentano in diverse forme, ma richiedono tutte una sofisticazione matematica.
Un tipo di attacco è chiamato attacco di collisione (collision attack). Alcuni algoritmi di hash, precedentemente considerati sicuri, si sono dimostrati capaci di produrre lo stesso valore di hash per due password diverse.
Se un hacker potesse sfruttare questa debolezza, potrebbe generare una password alternativa per un ID utente senza conoscere la password reale.
Gli attacchi crittografici possono essere più teorici che reali per i siti che seguono le migliori pratiche, poiché sono certamente più difficili rispetto a furti o spionaggi e potrebbero, a seconda delle circostanze, essere più lenti rispetto ai tentativi di forza bruta.
Tuttavia, ci sono stati siti che continuano a utilizzare algoritmi di hash crittografici deprecati, dimostratisi non sicuri.