Voor de hand liggend wachtwoord blijft meest populair

De vraag die Hunt bleef intrigeren was, hoe mensen tot de wachtwoordkeuze komen. Om die reden analyseerde hij de wachtwoorden die bij hacks van Sony, Gawker en door acties van LulzSec openbaar werden. Bij elkaar had hij gegevens van 300.000 accounts.

Namen veelgebruikt
Bij nadere inspectie bleken er vier hoofdcategorieën van inspiratie: het woordenboek (25 procent matchte met een Engels woord), eigennamen (14 procent), cijferreeksen (ook 14 procent) en plaatsnamen (8 procent).

Bij de wachtwoorden gebaseerd op het woordenboek, eigennamen of plaatsnamen bleef het in 55 tot 65 procent van de gevallen bij die naam, hooguit met een hoofdletter. Ongeveer een derde voegt er ook nog een of meer cijfers aan toe (veelal 1, of 123), minder dan 1 procent gebruikt ook een of meer symbolen.

Data populair
Bij de cijferreeksen blijkt er een duidelijke voorkeur voor reeksen van 6 cijfers; Hunt concludeert uit de spreiding van de cijfers dat dat veelal data zullen zijn. Ruim een kwart gebruikt 8 cijfers, maar in die subverzameling is geen patroon te herkennen dat erop wijst dat ze aan data zijn ontleend. Wachtwoorden à la 1234, 123456 en 11223344 zijn overigens erg populair.

In de resterende wachtwoorden is een grote diversiteit te onderkennen, maar dat betekent niet dat ze volstrekt willekeurig zijn. Hunt vond korte zinnen, van de website afgeleide wachtwoorden, van het e-mailadres afgeleide wachtwoorden, toetsenbordpatronen (zoals qwerty, asdf), en heel veel voor de hand liggende, zoals ncc1701 (de codenaam van de USS Enterprise in Star Trek). Echt willekeurig ogende wachtwoorden maakten volgens Hunt maar 1 procent van de geanalyseerde wachtwoorden uit.

Wachtwoordmanager vormt oplossing
Voor Hunt illustreert het onderzoek eens te meer, hoe websurfers worstelen met de vele inloggegevens die ze moeten onthouden. Terwijl een wachtwoord dat je kunt onthouden, bijna per definitie onveilig is. Hunt adviseert daarom het gebruik van een wachtwoordmanager, waarin wachtwoorden van de verschillende sites worden opgeslagen. In dat geval hoef je alleen het wachtwoord van je wachtwoordmanager te onthouden, en kun je daarvoor een heel sterk, moeilijk te onthouden wachtwoord kiezen.

Er zijn ook andere oplossingen in de maak, maar die schieten voroalsnog geen wortel. Het jongste voorstel is BrowserID van Mozilla. In dat voorstel zou de inlog bij de e-mailprovider als authenticatiemechanisme gebruikt worden.