Vorige week werd bekend dat aanvallers in 2012 bij de populaire muziekdienst Last.fm de gegevens van 43 miljoen gebruikers hadden buitgemaakt, waaronder versleutelde wachtwoorden. De wachtwoorden waren echter met het zwakke md5-algoritme gehasht.
Er was daarnaast geen salting of stretching gebruikt om het kraken van de wachtwoordhashes lastiger te maken. De website LeakedSource wist zodoende 96% van de wachtwoordhashes in 2 uur te achterhalen. Dit leverde een overzicht van de 50 meestgebruikte wachtwoorden op. De website heeft nu echter ook een overzicht van de 50 langste wachtwoorden die het wist te kraken online gezet.
De twee langste wachtwoorden zijn 46 karakters lang, namelijk "alapdanceissomuchbetterwhenthestripperiscrying" en "perseusandtheseamonsterperseusandtheseamonster". Het herhalen van meerdere woorden als wachtwoord komt vaker in het overzicht terug, zoals "WthAmIDoingHereWthAmIDoingHereWthAmIDoingHere". Ook waren er gebruikers die bijvoorbeeld 42 keer hetzelfde karakter als wachtwoorden hadden. Tevens was er een gebruiker die een bekend cross-site scripting-voorbeeld als wachtwoord had gekozen.
Het kraken van langere wachtwoorden kost over het algemeen meer tijd dan bij korte wachtwoorden het geval is, zeker als er sterkere hashingalgoritmes worden gebruikt. Gebruikers vergroten hiermee de kans dat een datalek wordt ontdekt voordat hun wachtwoordhash is gekraakt. Zo waren er 255.000 accounts die het wachtwoord "123456" hadden, kwam "password" bijna 93.000 keer voor en waren er 66.000 accounts die via het wachtwoord "lastfm" inlogden.
Deze posting is gelocked. Reageren is niet meer mogelijk.