Klanten van Sony kiezen zeer zwakke wachtwoorden en gebruiken die op meerdere websites, zo blijkt uit analyse van de gestolen wachtwoorden van SonyPictures.com. Troy Hunt downloadde het door hackergroep LulzSec online geplaatste bestand en keek naar lengte, verscheidenheid van karakters, willekeur en uniekheid.

93% van de ongeveer 38.000 geanalyseerde wachtwoorden was tussen de zes en tien karakters lang. Vijftig procent was zelfs korter dan acht karakters. Slechts een handvol gebruikers had een wachtwoord van meer dan twintig karakters, wat in dit geval weinig uitmaakte, aangezien Sony de wachtwoorden als platte tekst bewaarde.

Naast lengte speelt ook verscheidenheid een rol. Daarvoor keek Hunt naar de gebruikte karakters en verdeelde die in cijfers, hoofdletters, letter en overige karakters. Slechts vier procent van de wachtwoorden gebruikte drie of meer karakter typen. De helft van de wachtwoorden gebruikt slechts één karakter type en 90% daarvan waren alleen letters. "Maar wat echt verbazingwekkend is, is het gebruik van non-alfanumerieke karakters." Minder dan één procent van de wachtwoorden bevatte een non-alfanumeriek karakter.

Hunt verzamelde ook de 25 meest gebruikte wachtwoorden, die door 2,5% van de gebruikers werd gebruikt: seinfeld, password, winner, 123456, purple, sweeps, contest, princess, maggie, 9452, peanut, shadow, ginger, michael, buster, sunshine, tigger, cookie, george, summer, taylor, bosco, abc123, ashley en bailey.

Hergebruik
De onderzoeker vergeleek vervolgens de gestolen Sony-wachtwoorden met die bij Gawker werden buitgemaakt. 88 van de e-mailadressen kwamen in beide gelekte databases overeen. Daarvan hergebruikte tweederde het wachtwoord op beide sites. Hunt acht het dan ook goed mogelijk dat deze wachtwoorden ook op andere accounts van de gebruikers werken.

Kraken
Als laatste wilde de onderzoeker weten hoe kwetsbaar de wachtwoorden voor een eenvoudige rainbow table-aanval zijn, als Sony de wachtwoorden in de database had gehasht, zonder het gebruik van een salt. 82% van de wachtwoorden zou in dit geval eenvoudig te kraken zijn. En zelfs bij het gebruik van een salt, zou tweederde nog steeds te achterhalen zijn.

Hunt staat niet van de resultaten te kijken. "We weten dat wachtwoorden te kort, te eenvoudig, te voorspelbaar en teveel op de andere lijken die het individu ergens anders heeft gemaakt." De onderzoeker was wel verrast door de voorspelbare patronen, zoals het gebruik van alleen alfanumerieke karakters en een lengte van tien of minder karakters. Toch heeft ook Sony een grote steek laten vallen door de wachtwoorden niet te hashen, merkt Hunt op. "Maar het werkelijke verhaal hier, is dat gebruikers slordig met wachtwoorden om blijven gaan." Zelfs als Sony de wachtwoorden wel zou beveiligen, zou een deel van de wachtwoorden door schuld van de gebruikers nog steeds eenvoudig te achterhalen zijn.