Ook cybercriminelen zouden zwakke wachtwoorden gebruiken, zo stelt anti-virusbedrijf Avast na analyse van een kleine 2.000 wachtwoorden die voor bots, backdoors en shells worden gebruikt. Shells zijn programma's waarmee een aanvaller toegang tot een website kan krijgen.

Om ervoor te zorgen dat andere aanvallers niet op de shell kunnen inloggen worden ze meestal van wachtwoorden voorzien. Deze wachtwoorden zijn echter zeer zwak, zo ontdekte onderzoeker Antonin Hyza. Hij analyseerde 40.000 malware-exemplaren en ontdekte 1901 unieke wachtwoorden. Gemiddeld bestonden de wachtwoorden uit zes karakters. Verder bleek dat 58% alleen letters gebruikte, terwijl 20% een combinatie van letters en cijfers was.

Slechts 52 van de onderzochte wachtwoorden waren langer dan 12 karakters. Verder trof Hyza veel 'leet speak' aan, waarbij letters door cijfers zijn vervangen. Ook blijkt dat er nauwelijks hoofdletters worden gebruikt. Het meest gebruikte wachtwoord was "hack" gevolgd door variaties van het woord "pass" en "root".

Aan de hand van zijn eigen onderzoek maakte Hyza twee sets van karakters om de wachtwoorden van de meeste shells en bots te kraken. Malware-onderzoekers die de lijst met gevonden wachtwoorden zelf willen onderzoeken kunnen Hyza een mail sturen.