Paul Ducklin van antivirusbedrijf Sophos heeft gekeken naar de recente Forbes-hack om te ontdekken of gebruikers slimmer omgaan met wachtwoorden. Daarbij gebruikte de beveiligingsdeskundige de lijst van 100 meest gebruikte wachtwoorden en vergeleek de resultaten van nieuwe accounts met die van accounts van een paar jaar terug. Wat blijkt? Veelgebruikte wachtwoorden worden minder gebruikt dan vroeger. Misschien.

Trage brute force

Forbes slaat wachtwoorden op in een PHP Portable-formaat, waardoor een brute force-aanval wordt beperkt omdat er minder iteraties kunnen worden uitgevoerd. Daarnaast wordt het berekenen van hashes vertraagd omdat er door de salting geen standaardtabellen gebruikt kunnen worden. Twee dezelfde wachtwoorden leveren door salt twee verschillende hashwaardes op.

Daarom is het niet mogelijk om de miljoen wachtwoorden eenvoudig te kraken en Ducklin wijst er dan ook op dat alleen erg voor de hand liggende wachtwoorden uitgelezen zijn en hij geen idee heeft welke wachtwoorden er wél zijn gebruikt. "We kunnen niet stellen dat mensen slimmere wachtwoorden kiezen [...] maar wel dat gebruikers minder slechte kiezen", aldus de onderzoeker.

Slag om de arm

Hij heeft ook gekeken naar gebruikers van verschillende e-maildiensten en hun wachtwoordkeuze in 2012 vergeleken met 2014. De onderzoeker concludeert dat Yahoo-gebruikers nu 11x minder vaak een wachtwoord uit de top 100 kiezen, Gmail-gebruikers 9x minder vaak en Hotmail-gebruikers 5x minder vaak.

Bij het onderzoekje moet wel een flinke slag om de arm gehouden worden. Zo zijn er zo'n 80.000 van de in totaal 1 miljoen wachtwoorden bekeken en de kleinste variatie op voor de hand liggende wachtwoorden levert het resultaat dat hij niet opduikt in de lijst van veelgebruikte wachwoorden. Niettemin lijken gebruikers voorzichtige stappen te zetten in de goede richting wat betreft wachtwoordkeuze, denkt de Sophos-onderzoeker.