Om aan te tonen hoe belangrijk het is om een veilig wachtwoord te kiezen is Microsoft MVP Brien Posey een uitdaging gestart waarbij hij probeert het wachtwoord van zijn vrouw te kraken. Hij maakte een ZIP-bestand en vroeg zijn vrouw om een wachtwoord te kiezen. Posey gaf haar geen regels, behalve dat het een sterk wachtwoord moest zijn, maar niet al te lang. "Ik wilde dat ze een wachtwoord gebruikte dat realistisch genoeg was om in een zakelijke omgeving te worden gebruikt."

Posey probeerde eerst een woordenboekaanval, maar had daar geen succes mee. Daarop probeerde hij een brute force-aanval. Hij schakelde een aantal servers in om het wachtwoord te kraken. In totaal ging het om 40 CPU cores die op zo'n 4 Ghz draaiden. Na een aantal uur schakelden alle servers zich vanwege de ontstane hitte uit, op een na.

Deze server met acht CPU cores nam de taak over. De machine is in staat om 1200 pogingen per seconde te proberen. Na twee weken 24 uur per dag te hebben aangestaan is het wachtwoord nog steeds niet gekraakt.

De Microsoft MVP merkt op dat als iemand een wachtwoord van acht karakters gebruikt dat alleen uit kleine letters bestaat, en de aanvaller de wachtwoordlengte weet, het met 1200 pogingen per seconde nog steeds 5,5 jaar duurt om het wachtwoord te kraken.

Encryptie

Posey erkent dat de server nogal moeite heeft met de 256-bit encryptie van het ZIP-bestand. Tegenwoordig zijn met name videokaarten zeer efficiënt als het om het kraken van wachtwoorden gaat. Daarnaast worden veel wachtwoorden achterhaald aan de hand van de bijbehorende hash, die bijvoorbeeld via een gehackte website of database is buitgemaakt.

Een hashing-algoritme codeert het wachtwoord van gebruikers en deze gecodeerde versie, de hash, wordt vervolgens opgeslagen. "Toch valt het niet te ontkennen dat lengte en complexiteit een essentiële rol in de veiligheid van wachtwoorden spelen", aldus Posey, die het wachtwoord van zijn vrouw nog steeds niet heeft gekraakt.