पासवर्ड मानव इतिहास के सबसे पुराने सुरक्षा उपकरणों में से एक है। प्राचीन रोम में, प्रहरी सैनिकों से रात में गुज़रने के लिए "टेसेरा" — लकड़ी की तख्ती पर खुदा एक पासवर्ड — की मांग करते थे। यूनानी इतिहासकार पॉलीबियस (दूसरी शताब्दी ईसा पूर्व) अपनी "हिस्ट्रीज़" में बताते हैं कि कैसे "वॉचवर्ड" हर शाम सैन्य ट्रिब्यून द्वारा वितरित किया जाता था और पूरे शिविर में पहरेदार से पहरेदार तक पहुँचाया जाता था। बाइबल न्यायियों की पुस्तक (12:5-6) में इसी तरह के उपयोग का उल्लेख करती है: गिलादियों ने एप्रैमियों की पहचान उनसे "शिबोलेथ" बोलने को कहकर की — जो "सिबोलेथ" बोलते थे वे पकड़े जाते थे। यह "भाषाई पासवर्ड" कंप्यूटर सुरक्षा में एक मूलभूत अवधारणा बन गया।
मध्य युग में, किलेबंद महलों और दीवारों वाले शहरों में दरवाज़ों तक पहुँच नियंत्रित करने के लिए पासवर्ड का उपयोग किया जाता था। मध्ययुगीन गिल्ड, विशेष रूप से फ्रीमेसन, ने अपने सदस्यों को पहचानने के लिए शब्दों, संकेतों और हाथ मिलाने की विस्तृत प्रणालियाँ विकसित कीं। "मेसन्स वर्ड", जो दीक्षा के दौरान मौखिक रूप से दिया जाता था, भाईचारे की सदस्यता साबित करने का काम करता था। सौ साल के युद्ध (1337-1453) के दौरान, अंग्रेज़ी और फ्रांसीसी सेनाएँ रात की लड़ाई में दोस्तों को दुश्मनों से अलग करने के लिए दैनिक पासवर्ड का उपयोग करती थीं। इतिहासकार जीन फ्रोइसार्ट बताते हैं कि क्रेसी की लड़ाई (1346) में पासवर्ड की गड़बड़ी से कई सैनिकों की "फ्रेंडली फायर" से मौत हुई।
पासवर्ड का कंप्यूटर युग 1961 में MIT में शुरू हुआ, जब फर्नांडो कॉर्बातो ने Compatible Time-Sharing System (CTSS) के लिए पहली पासवर्ड प्रमाणीकरण प्रणाली लागू की। इस प्रणाली ने कई उपयोगकर्ताओं को एक ही IBM 7094 कंप्यूटर साझा करने की अनुमति दी, साथ ही प्रत्येक की फ़ाइलों की सुरक्षा की। 1962 में ही, MIT के डॉक्टरेट छात्र एलन शेर ने पहला ज्ञात "हमला" किया: उन्होंने सभी पासवर्ड वाली मास्टर फ़ाइल ढूँढ़ी जो सादे टेक्स्ट में संग्रहीत थी और उसे प्रिंट कर लिया, जिससे उन्हें अतिरिक्त कंप्यूटिंग समय मिला। यह किस्सा प्लेन टेक्स्ट स्टोरेज की मूलभूत कमज़ोरी को दर्शाता है।
पासवर्ड विज्ञान में 1976 में एक बड़ा मोड़ आया जब Bell Labs के शोधकर्ता रॉबर्ट मॉरिस सीनियर ने DES एल्गोरिदम पर आधारित crypt() फ़ंक्शन के साथ Unix में पासवर्ड हैशिंग का आविष्कार किया। पहली बार, पासवर्ड सादे टेक्स्ट में नहीं बल्कि अपरिवर्तनीय "हैश" के रूप में संग्रहीत किए गए। 1979 में, मॉरिस ने "सॉल्ट" की अवधारणा जोड़ी — हैशिंग से पहले जोड़ा गया एक यादृच्छिक मान जो पूर्व-गणित तालिकाओं से हमलों को रोकता है। एन्ट्रॉपी, क्लॉड शैनन की सूचना सिद्धांत (1948) से उधार ली गई अवधारणा, मानक माप बन गई: E = L × log₂(N), जहाँ L लंबाई है और N संभावित अक्षरों की संख्या। 12 मिश्रित अक्षरों का पासवर्ड लगभग 79 बिट एन्ट्रॉपी प्राप्त करता है, जो सहस्राब्दियों तक ब्रूट फ़ोर्स का सामना करने के लिए पर्याप्त है।
पासवर्ड का मनोविज्ञान आकर्षक विरोधाभास उजागर करता है। 2003 में, NIST के बिल बर्र ने दस्तावेज़ SP 800-63 का अनुलग्नक A प्रकाशित किया, जिसमें बड़े अक्षरों, संख्याओं और विशेष अक्षरों वाले जटिल पासवर्ड की सिफारिश की गई। 2017 में, वॉल स्ट्रीट जर्नल को दिए एक साक्षात्कार में, उन्होंने स्वीकार किया कि यह सिफारिश "काफ़ी हद तक ग़लत" थी: उपयोगकर्ता अनुमानित प्रतिस्थापनों ("P@ssw0rd!") से जटिलता को दरकिनार करते हैं और बार-बार बदलाव कमज़ोर पैटर्न की ओर ले जाते हैं। कैम्ब्रिज विश्वविद्यालय के मनोवैज्ञानिक जेफ़ यान ने 2004 में प्रदर्शित किया कि स्मृति-सूत्र वाक्यांशों पर आधारित पासवर्ड शुद्ध जटिलता पर आधारित पासवर्ड से अधिक मज़बूत और याद रखने में आसान दोनों हैं।
समकालीन उद्योग एक गहन परिवर्तन से गुज़र रहा है। NIST ने 2017 (SP 800-63B) में अपने दिशानिर्देशों को संशोधित किया, जटिलता पर लंबाई को प्राथमिकता दी और अनिवार्य आवधिक समाप्ति को छोड़ दिया। Microsoft ने 2019 में अपनी सुरक्षा बेसलाइन से पासवर्ड रोटेशन हटाकर इसका अनुसरण किया। 2009 में RockYou डेटा लीक — 32 मिलियन सादे टेक्स्ट पासवर्ड उजागर — ने खुलासा किया कि "123456" शीर्ष पर था, इसके बाद "12345" और "password"। 2023 में, NordPass रिपोर्ट पुष्टि करती है कि "123456" दुनिया का सबसे अधिक उपयोग किया जाने वाला पासवर्ड बना हुआ है, जो एक सेकंड से भी कम में क्रैक हो जाता है। Argon2 एल्गोरिदम, 2015 में Password Hashing Competition का विजेता, हैशिंग में अत्याधुनिक तकनीक का प्रतिनिधित्व करता है। साथ ही, 2022 से Google, Apple और Microsoft द्वारा प्रचारित FIDO2/WebAuthn पर आधारित पासकीज़ शायद पारंपरिक पासवर्ड युग के अंत की घोषणा करती हैं।