Onderzoekers van de universiteit van Cambridge hebben bewezen dat het hergebruik van wachtwoorden veel vaker voorkomt dan tot nu toe aangenomen werd. Dat meldt een onderzoeker op zijn weblog. Ze kwamen tot die conclusie nadat zij gelekte wachtwoorden van de vorige week gehackte website Rootkit.com van HBGary naast die van de eerder gehackte website Gawker legden.

Unieke situatie om te vergelijken

Hackers van het losjes georganiseerde collectief Anonymous stalen van beide websites de database met gebruikersgegevens. Vervolgens maakten zij die openbaar. Zo lekten er in december gegevens van ruim 1,3 miljoen gebruikers van Gawker en Gizmodo. Van Rootkit.com lekten er vorige week zo’n 81.000 uit. In beide gevallen waren de wachtwoorden wel versleuteld opgeslagen in de database.

De unieke situatie dat van twee websites alle gegevens waren uitgelekt gaf de Britse onderzoekers een kans om het gebruik van wachtwoorden te bestuderen. Nadat zij de e-mailadressen in beide databases naast elkaar legden, bleek dat er 522 adressen op beide sites gebruikt werden. Nadat dubieuze adressen waren weggefilterd, bleven er nog 456 over.

Brute force aanval

Omdat beide databases versleuteld waren, moesten de onderzoekers de wachtwoorden eerst nog kraken. De Britten deden dat met behulp van een brute force aanval op de database. Zij creëerden twee regenboogtabellen met daarin ongeveer 10 miljoen veelgebruikte wachtwoorden. Eén tabel was bedoeld voor Gawker, de andere voor Rootkit.com.

Een rainbow table of regenboogtabel is een tabel met een aantal mogelijke wachtwoorden en de versleutelde hashes daarvan. Hiermee zijn versleutelde wachtwoorden sneller te ontcijferen.

Van 284 gebruikers wachtwoorden gekraakt

In totaal werden er op deze manier van in totaal 284 gebruikers de wachtwoorden gekraakt. Daarvan waren 161 gebruikers in beide databases aanwezig. Uit de vergelijking bleek vervolgens dat 76% van die gebruikers op beide websites hetzelfde wachtwoord gebruikt. Nog eens 6% gebruikte alleen een andere combinatie van hoofd- en kleine letters of een kleine toevoeging. Erg opvallend, omdat het hier om gebruikers gaat die veel van technologie weten.

Over alle dubbele accounts genomen betekent dit dat minimaal 31% van de gebruikers hun wachtwoord hergebruikt. Maar het kan ook oplopen tot 49%, als gebruikers wiens wachtwoord slechts op één site werd gekraakt een variant op dat wachtwoord gebruiken en als de 168 niet-gekraakte wachtwoorden gelijk zijn op beide sites.

Percentage is veel hoger dan aangenomen

Zelfs het conservatieve percentage van 31% is volgens de onderzoekers van Cambridge veel hoger dan oudere studies naar het hergebruik van wachtwoorden. Daarin werd uitgegaan van een percentage tussen de 12 en 20%. De foutmarge van 5% in de oudere onderzoeken verklaart het verschil ook niet.

Hoofdonderzoeker Joseph Bonneau concludeert daarom dat het hergebruik van wachtwoorden de afgelopen vijf jaar (toen de vorige studie hiernaar werd uitgevoerd) hoger is geworden. Ook kan het zijn dat gebruikers niet zoveel waarde hechten aan de registratie op deze websites. In beide gevallen gaat het namelijk om reacties op artikelen en posts in een forum en niet om financiële zaken.

“Het zou heel interessant zijn om te bestuderen of er ook een overlap is in wachtwoorden tussen belangrijke en minder belangrijke accounts is. Bijvoorbeeld een vergelijk tussen het wachtwoord bij een grote e-mailaanbieder of een online bank en een minder belangrijk account zoals bij Gawker of Rootkit.com”, stelt Bonneau.