Een Canadese beveiligingsonderzoeker heeft een database online gezet met ruim 14 miljoen gestolen wachtwoorden van zo'n 33 miljoen gebruikers. De gegevens zijn niet zelf door Ron Bowes gestolen, hij heeft ze alleen van andere websites verzameld. Het gaat om wachtwoorden die bij verschillende incidenten publiek werden. Daarnaast zijn de wachtwoorden losgekoppeld van de gebruikersnamen.

Bowes, één van de ontwikkelaars van netwerk scanningtool Nmap, verzamelde de wachtwoorden om te zien hoe gebruikers hun wachtwoorden kiezen. Aan de hand hiervan kunnen onderzoekers het authenticatie proces veiliger maken. "Voor zover ik weet is het de beste verzameling van gehackte wachtwoorden waar dan ook", aldus Bowes. De wachtwoorden zijn op een wiki-pagina verzameld, wat betekent dat iedereen nieuwe lijsten kan toevoegen.

Zwak
Wat de verzameling duidelijk maakt is dat de meeste mensen zeer zwakke wachtwoorden kiezen. In bijna alle lijsten die Bowes analyseerde, kwam '123456' het meest voor, gevolgd door 'password'. Op het christelijke blog Faithwriters waren wachtwoorden als 'jesuschrist', 'heaven', 'christ' en 'blessed' het populairst.

Als het aan Bowes ligt gaan websites gebruikers verbieden om de aller zwakste wachtwoorden te kiezen, zoals Twitter doet. De microbloggingdienst gebruikt een blacklist van honderden eenvoudig te raden wachtwoorden. Voor belangrijke websites, zoals internetbankieren, zou nooit een wachtwoord mogen worden gebruikt en moet er multi-factor authenticatie worden toegepast, zo laat de onderzoeker weten.