De inloggegevens waren beschermd met bcrypt waar elk wachtwoord door een uitgebreide hashfunctie is gehaald. Dit Blowfish-algoritme bevat onder meer een vertragingsfeature om brute force-aanvallen te frustreren. Het zou honderden jaren kosten om deze hashes uit te rekenen om de wachtwoorden te bemachtigen.

Kraakbare MD5-hashes

Waarschijnlijk om het inloggen te vergemakkelijken, gebruikte Ashley Madison tokens die ook zijn buitgemaakt bij de kaping van de site. Deze tokens zijn met MD5 aangemaakt en niet op basis van de bcrypt-hashes, maar vanaf de wachtwoorden in platte tekst, zo legt Ars Technica uit. In tegenstelling tot bcrypt, kun je bij MD5-hashes miljarden mogelijke wachtwoorden proberen per seconde.

De onderzoekers hebben zo 11 miljoen wachtwoorden van de 36 miljoen ontvreemde accounts weten te kraken. Interessant is dat latere MD5-tokens wel zijn aangemaakt op basis van de bcrypt-hash. Dat betekent waarschijnlijk dat iemand bij Ashley Madison het probleem met de tokens heeft ontdekt en gefixt.