De onderzoekers ontwikkelden een model om te kijken hoe lang het duurt om wachtwoorden van verschillende sterktes te kraken (PDF). Ze leerden hun software om pogingen te doen op basis van een database van 10 miljoen gelekte wachtwoorden. Ze testten de aanvalssoftware vervolgens op een andere database van 32 miljoen woorden om te zien of de geleerde lessen in de praktijk werkten.
Voorspelbare plekken verplichtingen
De software leerde zo dat als gebruikers tot het gebruik van een hoofdletter worden gedwongen, dit vaak het eerste teken wordt. Verplicht gebruik van cijfers leidt tot het toevoegen van cijfers aan het einde van het wachtwoord. Met wat aanpassingen hier en daar zijn deze wachtwoorden ook te raden.
Sommige gebruikers hanteren leetspeak in de wachtwoorden, maar de meeste bruteforcesoftware houdt daar al jaren rekening mee en doet pogingen met bijvoorbeeld het cijfer 3 in plaats van de E in woorden en soortgelijke combinaties.