De Duitse onderzoeker Thomas Ross liet laatst weten dat hij Amazons cloud had gebruikt voor het kraken van wachtwoord hashes, maar dat wil nog niet zeggen dat SHA-1 voor twee dollar gekraakt is, zoals sommige media lieten weten. Ross beweerde niet dat hij iets gekraakt had en suggereerde alleen dat SHA-1 niet langer voor wachtwoord hashing geschikt is.

"Zijn resultaten lijken deze bewering te ondersteunen, maar alleen voor zwakke wachtwoorden in combinatie met een erg zwak wachtwoord hashing-systeem", merkt Paul Ducklin van Sophos op. "Er is dus niets hier gekraakt, maar ook zijn twee dollar waard aan Amazon cloud supercomputertijd, gaat alleen over het slechte gebruik van een jammerlijk geïmplementeerde wachtwoord hash."

Hashing
Ross wist van een lijst met 14 SHA-1 hashes tien wachtwoorden tot zeven karakters in 49 minuten met dank aan Amazons supercomputer te achterhalen. "Ik kan acht van de veertien wachtwoorden in de achtergrond van mijn Macbook Pro achterhalen, in dezelfde tijd dat hij nodig had om er tien te kraken", merkt Ducklin op.

Daarnaast komt het hashing-schema dat Ross gebruikte niet overeen met hoe dit in het echt gebeurt. Zou er een echt schema zijn toegepast, dan was de onderzoeker duizend keer langer bezig zijn geweest. Zouden er ook nog wachtwoorden van acht karakters zijn gebruikt, dan zou al het werk met een factor negenduizend zijn toegenomen. Ducklin benadrukt dat SHA-1 aan vervanging toe is, iets wat al geruime tijd geroepen wordt. Op dit moment wordt er een wedstrijd gehouden om te bepalen wat straks de opvolger, genaamd SHA-3, zal zijn. De winnaar zou in 2012 bekend moeten zijn.