De onderzoekers ontwikkelden een model om te kijken hoe lang het duurt om wachtwoorden van verschillende sterktes te kraken (PDF). Ze leerden hun software om pogingen te doen op basis van een database van 10 miljoen gelekte wachtwoorden. Ze testten de aanvalssoftware vervolgens op een andere database van 32 miljoen woorden om te zien of de geleerde lessen in de praktijk werkten.

Voorspelbare plekken verplichtingen

De software leerde zo dat als gebruikers tot het gebruik van een hoofdletter worden gedwongen, dit vaak het eerste teken wordt. Verplicht gebruik van cijfers leidt tot het toevoegen van cijfers aan het einde van het wachtwoord. Met wat aanpassingen hier en daar zijn deze wachtwoorden ook te raden.

Sommige gebruikers hanteren leetspeak in de wachtwoorden, maar de meeste bruteforcesoftware houdt daar al jaren rekening mee en doet pogingen met bijvoorbeeld het cijfer 3 in plaats van de E in woorden en soortgelijke combinaties.

Wat wel werkt

Wat wel werkt zijn lange wachtwoorden en het gebruik van symbolen. Laten wachtwoorden nou net vaak bij 16 tekens worden afgebroken en het gebruik van bepaalde tekens (bijvoorbeeld het vraagteken of de schuine streep) verboden zijn bij het aanmaken van wachtwoorden. Voor mensen die graag een passphrase hanteren zijn wachtwoordeisen en -beperkingen een rijke bron van frustratie.