Internetgebruikers kiezen nog altijd onveilige en eenvoudig te raden wachtwoorden voor hun accounts, zo hebben onderzoekers van Britse en Chinese universiteiten aangetoond. Volgens de onderzoekers is er veel onderzoek gedaan naar het raden van zowel online als offline wachtwoorden, maar is de dreiging van het gericht raden van iemands inloggegevens op basis van persoonlijke informatie nog onvoldoende belicht.

Ze besloten daarom verschillende algoritmes te ontwikkelen die, op basis van een ander wachtwoord van het slachtoffer en wat persoonlijke informatie, online het wachtwoord raden. Dit is een uitdaging, aangezien veel internetdiensten het aantal inlogpogingen beperken. Veel gebruikers kiezen echter onveilige wachtwoorden of hergebruiken hetzelfde wachtwoord voor meerdere websites, waardoor het toch mogelijk blijkt om succesvol online wachtwoorden te raden en zo toegang tot accounts te krijgen.

Om de algoritmes te ontwikkelen bedachten de onderzoekers eerst een framework genaamd TarGuess, dat verschillende scenario's voor het raden van wachtwoorden onderbouwt met wiskundige modellen, waarbij de aanvaller verschillende soorten gegevens van het slachtoffer heeft. Deze modellen werden vervolgens gebruikt voor het ontwikkelen van nieuwe algoritmes voor het raden van wachtwoorden en getest op 10 grote datasets van gelekte wachtwoorden, zoals die van Yahoo en RockYou, maar ook het gehackte hackerforum Rootkit.

Twee van de algoritmes wisten uiteindelijk 73% van de wachtwoorden van doorsnee internetgebruikers binnen 100 keer te raden, terwijl dit bij meer securitybewuste gebruikers 32% was. Zelfs als het wachtwoord van een andere website niet beschikbaar is blijkt dat menig internetgebruiker persoonlijke informatie voor het wachtwoord gebruikt. Zonder beschikbaar wachtwoord maar met persoonlijke informatie konden de algoritmes nog altijd 20% van de wachtwoorden van doorsnee internetgebruikers raden. Meer informatie is te vinden in het onderzoeksrapport: Targeted Online Password Guessing: An Underestimated Threat (pdf).