Shoulder surfing polega na obserwowaniu, czy ktoś wprowadza hasło bez pozwolenia, lub próbuje odebrać wiadomości lub wskazówki, które mogą być związane z prawdziwym hasłem . Surfowanie barkowe jest najbardziej skutecznym atakiem, który pozwala na uzyskanie haseł graficznych, jeśli logowanie odbywa się w bezpiecznym środowisku; ten atak nie jest możliwy, jeśli nie ma bezpośredniej linii wzroku na ekran lub klawiaturę. Jeśli jednak uwierzytelnianie odbywa się w miejscu publicznym, w którym atakujący może wyraźnie zobaczyć ekran, klawiaturę,lub inne urządzenie wejściowe, istnieje szansa, że atakujący może uzyskać nasze dane logowania. Badania pokazują, że hasła graficzne są bardziej podatne na ataki typu shoulder-surfing, szczególnie w przypadku urządzeń mobilnych. Wynika to z faktu, że łatwiej jest zidentyfikować dane logowania w formie graficznej, niż zidentyfikować sekwencje alfanumeryczne . W niektórych przypadkach hasła można nawet zapisać w niezaszyfrowanej postaci zwykłego tekstu w przeglądarkach internetowych, co dodatkowo zwiększa ryzyko ataków typu bark-surfing, umożliwiając hakerom uzyskanie dostępu do systemu przy minimalnym wysiłku.