Dat schrijft technologiesite Ars Technica.

Het gegevensbestand van Stratfor werd eind 2011 gelekt door hackerscollectief Anonymous. Het bestand bevatte onder meer creditcardgegevens, namen, adresgegevens, telefoonnummers, wachtwoordhashes en e-mailadressen van 270 Nederlanders.

In zijn poging de wachtwoorden uit de gelekte bestanden te kraken, liep Young op een gegeven moment vast. Met zijn lijst van meer dan 20 miljoen wachtwoorden wist hij 60 procent van de wachtwoordhashes (versleutelingen) te ontrafelen, maar voor de rest van de in totaal 860.000 hashes bleek zijn methode ontoereikend.

En dus moesten de 344.000 resterende wachtwoorden wel langere woorden of zinnen zijn. Een nieuwe lijst met woorden die nog niet eerder zijn geprobeerd moest uitkomst bieden.

Samen met collegaonderzoeker Josh Dustin probeerde Young het eerst met zinnen uit een artikel van USA Today. Niet lang daarna importeerden ze de complete inhoud van Wikipedia en 15.000 werken uit het Gutenbergproject –met daarin onder meer de Bijbel– in hun systeem. Gutenberg is de grootste verzameling online boeken en is gratis beschikbaar.

Met de nieuwe informatie slaagden ze erin steeds meer Stratforhashes te kraken, onder meer wachtwoorden als “in den beginne was het woord” en “van genesis tot openbaringen”.

Het succes was voor de beveiligingsexperts aanleiding om ook gegevens van andere bronnen, zoals nieuwssites, Twitter, Facebook en YouTube te gebruiken. Zo wisten ze met een serie van 4400 unieke woorden of zinnen die ze van Twitter haalden, maar liefst 1976 wachtwoorden te achterhalen van gebruikers van een gekraakte datingsite voor Amerikaanse militairen.

Ondanks dat het ontcijferen van wachtwoorden volgens de methode-Young de nodige capaciteit vraagt, maken ook criminelen in toenemende mate gebruik van deze aanpak. Daarmee biedt een lang en ingewikkeld wachtwoord op termijn mogelijk evenveel, of even weinig, bescherming als een hele korte, voor de hand liggende code.