Het bestand met gestolen Stratfor klantgegevens dat net voor de jaarwisseling werd gelekt, en informatie over 270 Nederlanders bevatte, bevatte ook een schat aan wachtwoord-hashes. The Tech Herald besloot de 860.000 wachtwoord-hashes te kraken en kwam tot een pijnlijke, maar verwachte conclusie. "Het beheer en maken van wachtwoorden bevindt zich nog steeds in de middeleeuwen."

Strafor is een Amerikaans inlichtingenbedrijf en heeft bedrijven en overheidsinstanties als klant. "Deze organisaties hebben de middelen om sterke wachtwoorden af te dwingen. De individuen die deze organisaties vertegenwoordigen, hebben geen enkel excuus voor het kiezen van zulke verschrikkelijke inloggegevens. Ze zouden om authenticatie en toegang moeten geven, en toch kiezen ze 'qwerty' als wachtwoord", stelt de IT-website.

Advies
In totaal werden 81.000 wachtwoord-hashes gekraakt. De Stratfor website adviseerde klanten om minimaal zes karakters te gebruiken, maar stelde dit niet verplicht. Daardoor was het ook mogelijk om een wachtwoord van één karakter te kiezen. Het maximaal aantal te kiezen karakters was 23. 49 van de gekraakte wachtwoorden bestond uit één karakter, terwijl 51 wachtwoorden tussen de 15 en 23 karakters lang waren.

"Het registratieformulier deed niets om sterke wachtwoorden aan te moedigen of waardeloze te voorkomen. Dit is verrassend voor een bedrijf dat inlichtingen verzamelt en deelt."

Password
Volgens The Tech Herald had het meer wachtwoorden kunnen kraken, als het langer was doorgegaan. Nu besteedde het iets minder dan vijf uur om de verzameling hashes op te zoeken. De website stelde verschillende woordenlijsten samen, onder andere met Nederlandse woorden en zinnen, alsmede voor- en achternamen. De meeste wachtwoorden (23.400) waren zes karakters lang, gevolgd door 21.000 wachtwoorden bestaande uit acht karakters.

Uiteindelijk leverde het een grote lijst met wachtwoorden op, zoals 12345stratfor, Password123, qwerty123456, basketball, hello123, intelligence, lawenforcement en surveillance4u.