Met een paar handige tools wist een journalist in april een lijst met ruim 16.000 wachtwoordhashes voor de helft te ontcijferen, maar wat als de 'professionals' hiermee aan de slag gaan. 

Veel websites gebruiken nog steeds het MD5-algoritme voor het hashen van wachtwoorden en dat biedt nauwelijks bescherming tegen een aanvaller die de database met hashes weet te bemachtigen. Ars Technica besloot de lijst van ruim 16.000 hashes die Anderson voor de helft kraakte aan ervaren wachtwoordkrakers te geven.

Die maakten er letterlijk gehakt van en wisten wachtwoorden van 16 karakters binnen een uur te achterhalen. De beste van de drie krakers wist in 20 uur 14.734 van de 16.449 hashes te achterhalen. Een succespercentage van 90%, behaald met een enkele Radeon 7970 videokaart. Een andere kraker wiste 13.486 hash (82%) te kraken en deed dit in minder dan een uur.

Voor het ontcijferen van de hashes gebruikten de krakers verschillende technieken en strategieën, zoals brute-force, hybride-aanvallen en woordenlijsten.

Alles bij de bron; Security