Internetgebruikers kiezen nog altijd onveilige en eenvoudig te raden wachtwoorden voor hun accounts, zo hebben onderzoekers van Britse en Chinese universiteiten aangetoond. Ze besloten verschillende algoritmes te ontwikkelen die, op basis van een ander wachtwoord van het slachtoffer en wat persoonlijke informatie, online het wachtwoord raden.

Om de algoritmes te ontwikkelen bedachten de onderzoekers eerst een framework genaamd TarGuess, dat verschillende scenario's voor het raden van wachtwoorden onderbouwt met wiskundige modellen, waarbij de aanvaller verschillende soorten gegevens van het slachtoffer heeft. Deze modellen werden vervolgens gebruikt voor het ontwikkelen van nieuwe algoritmes voor het raden van wachtwoorden en getest op 10 grote datasets van gelekte wachtwoorden, zoals die van Yahoo en RockYou, maar ook het gehackte hackerforum Rootkit.

Twee van de algoritmes wisten uiteindelijk 73% van de wachtwoorden van doorsnee internetgebruikers binnen 100 keer te raden, terwijl dit bij meer securitybewuste gebruikers 32% was. Zelfs als het wachtwoord van een andere website niet beschikbaar is blijkt dat menig internetgebruiker persoonlijke informatie voor het wachtwoord gebruikt. Meer informatie is te vinden in het onderzoeksrapport: Targeted Online Password Guessing: An Underestimated Threat (pdf).

Alles bij de bron; Security