Er zijn diverse instellingen mogelijk voor het wachtwoord van de gebruikers
De minimale complexiteit score loopt van 0 tot 4. De berekening is gebaseerd op Dropbox technologie.
De methode is niet gebaseerd op een set van regels. In plaats daarvan wordt de 'willekeurigheid' (entropie) van een wachtwoord bepaald middels een algoritme. Dit geeft een betere indicatie van de sterkte van een wachtwoord van traditionele set van regels.
Doordat er geen vaste set aan regels is, kan niet exact worden gespecificeerd waar een wachtwoord precies aan moet voldoen. Voor een zo hoog mogelijke score is het echter van belang dat een wachtwoord zo willekeurig en zo lang mogelijk is. Bij een onvoldoende veilig wachtwoord zal de software in sommige gevallen aangeven waarom het wachtwoord niet veilig genoeg is. Hiervoor kan de gebruiker de tooltip op wachtwoord sterkte indicator raadplegen.
De getallen die worden gegeven zijn als volgt te verklaren:
0: dit wachtwoord is te makkelijk te raden, en wordt zeer sterk afgeraden te gebruiken (minder dan 1.000 pogingen zijn nodig om het wachtwoord te kraken).
1: voor online aanvallen zou dit wachtwoord sterk genoeg zijn, omdat na 3 inlogpogingen het account wordt geblokkeerd (minder dan 1.000.000 pogingen zijn nodig om het wachtwoord te kraken).
2: voor online aanvallen is dit wachtwoord sterk genoeg, ook al zou het account niet na 3 inlogpogingen worden geblokkeerd (minder dan 100.000.000 pogingen zijn nodig om het wachtwoord te kraken).
3: redelijk sterke beveiliging tegen offline aanvallen, wanneer een aanvaller de wachtwoorden zou gaan raden terwijl deze lokaal opgeslagen zijn (minder dan 10.000.000.000 pogingen zijn nodig om het wachtwoord te kraken).
4: hele sterke beveiliging tegen offline aanvallen (meer dan 10.000.000.000 pogingen zijn nodig om het wachtwoord te kraken).
Daarnaast kan worden ingesteld dat een wachtwoord niet eerder is gebruikt in afgelopen periode. De periode kan worden ingesteld van 0 dagen tot oneindig. Dit laatste betekent dus dat een nieuw wachtwoord nooit gelijk mag zijn aan alle eerder gebruikte wachtwoorden.
Verder kan de geldigheidsduur van het wachtwoord worden geconfigureerd. Na de ingestelde periode moet de gebruiker verplicht zijn of haar wachtwoord wijzigen. De periode loopt van 30 dagen tot oneindig.
Ter beveiliging van de toegang tot Cloudplan wordt de mogelijkheid tot aanmelden geblokkeerd na de ingestelde hoeveelheid foutieve aanmeldpogingen. Dit kan worden ingesteld tussen de 1 en 7 pogingen en standaard staat dit vijf pogingen. Daarna kan er op deze gebruikersaccount voor een bepaalde duur niet worden aangemeld. Deze duur kan worden ingesteld van één minuut tot 30 minuten en standaard staat dit op 5 minuten.
In het aanmeldscherm is er de optie om aangemeld te blijven. Indien deze wordt aangevinkt, dan wordt de gebruiker bij het volgende bezoek aan Cloudplan automatisch aangemeld. De gebruiker blijft aangemeld voor een ingestelde periode. Na deze periode dient de gebruiker weer zijn of haar wachtwoord in te voeren. Standaard blijft de gebruiker aangemeld voor twee weken.