Método de ataque en el que los atacantes prueban una lista común de contraseñas contra un gran número de cuentas de usuario, a diferencia de los ataques de fuerza bruta que prueban muchas contraseñas contra una única cuenta. Este método reduce la probabilidad de bloqueo de cuentas y es difícil de detectar sin un monitoreo adecuado.