Hasła dostępu tylko w wyjątkowych przypadkach są przechowywane w zaszyfrowanej odwracalnie formie. Przeważnie są przekształcane do postaci skrótów kryptograficznych, wykonanych za pomocą algorytmów, takich jak SHA-1 czy MD5. Dzięki temu nie ma możliwości odszyfrowania hasła w jego oryginalnej postaci. Można jedynie podstawiać kolejne przypuszczalne jego postaci do algorytmu skracającego i następnie porównywać skróty. Im bardziej skomplikowane hasło, obejmujące cyfry, litery i znaki specjalne, tym więcej kombinacji należy podstawić, a zatem proces odzyskania haseł jest trudniejszy.

Aby łamanie haseł było możliwie sprawne, stosuje się bazę skrótów, obejmującą miliony najpopularniejszych słów w różnych językach. Kevin Young, ekspert do spraw bezpieczeństwa, który zajmuje się zagadnieniami związanymi z ochroną dostępu za pomocą haseł, postanowił przetestować technologię skrótów haseł z serwisu LinkedIn. Badacze z grupy Kevina Younga zajęli się dekodowaniem dużej bazy, pochodzącej z rosyjskojęzycznego forum zajmującego się łamaniem haseł. Pierwotnie baza do testowania zawierała 6,1 mln skrótów pochodzących z serwisu LinkedIn. Stanowiła więc doskonałe narzędzie badawcze, dzięki któremu można było ustalić metody doboru haseł przez różnych ludzi w sieciach społecznościowych. Jednocześnie można było w praktyce określić prawdziwą odporność tych haseł na złamanie.

Na pierwszy rzut wybrano porównanie skrótów z bazą skrótów haseł, które już zostały złamane przy okazji różnych wycieków danych, na przykład związane z serwisami Stratfor Global Intelligence i MilitarySingles.com. Wyniki były słabe, gdyż odnotowano zaledwie 5 tys. trafień. Według Younga, oznacza to, że hackerzy już podążali tą drogą i najprostszy ze sposobów pozyskania hasła był mało skuteczny.

Baza skrótów kontra baza słów

Ponieważ w porównaniu do standardowych list dostępnych w internecie hasła cechowały się zbyt dużą złożonością, badacze zastosowali oprogramowanie, które tworzyło różne kombinacje słów, liter i cyfr, a następnie porównywało skróty SHA-1. Przy obliczeniach wykorzystywano akceleratory GPU, które umożliwiają wielokrotne przyspieszenie obliczeń związanych ze skrótami kryptograficznymi oraz olbrzymią bazę słów. Mimo to odtworzono zaledwie około 3,5 mln haseł. Odtworzenie pozostałych 2,6 mln haseł okazało się początkowo zbyt trudne. Stanowiły one dla członków grupy Younga doskonały materiał badawczy. Aby móc kontynuować badania, potrzebowali oni znacznie większego zbioru słów i towarzyszących im skrótów.

Słowa i wyrażenia z książek

Program napisany przez Younga należało zasilić dużą liczbą słów i gotowych wyrażeń. Skorzystano w tym celu z arcydzieł światowej literatury, takich jak: "Wojna i pokój", "Opowieść o dwóch miastach", "Zew krwi", "Czarnoksiężnik z Krainy Oz" i innych. Po zebraniu różnych słów i wyrażeń z tych książek, utworzono modelowe hasła postaci "lionsandtigersandbears", które następnie przetestowano na dużej bazie skrótów. Skutecznie! Wyrażenie "Tip was made to carry wood from the forest", pochodzące z książki "Czarnoksiężnik z Krainy Oz", było kolejno zmieniane w "Tip", "Tipwas", "Tipwasmade", a następnie "Tipwasmadeto" i tak dalej. Każda z tych próbek była także uzupełniana cyframi i symbolami, by uzyskać możliwie dużą bazę skrótów.

Standardowym narzędziem do testowania podatności haseł jest program John the Ripper. Takie oprogramowanie stosowała również ekipa Younga, osiągając wydajność 700 do 800 mln kombinacji słów na sekundę. Inne narzędzia, korzystające ze wstępnej preparacji skrótów, były jeszcze wydajniejsze, osiągając 5 mld kombinacji na sekundę przy akceleracji za pomocą kart GPU. W ten sposób udało się odtworzyć zaledwie 50 tys. haseł serwisu LinkedIn, co oznaczało, że baza słów nadal była zbyt uboga.

Po hasła na Twittera

Aby poszerzyć bazę słów, badacze wykorzystali słowniki terminów finansowych i związanych z biznesem. Ponieważ w serwisie LinkedIn jest obecnych wielu użytkowników biznesowych, właściwe dla nich słownictwo również mogło pojawić się wśród fraz wybieranych na hasło do serwisu.

Efekty nadal były niezadowalające, dlatego też kolejnym źródłem stały się sieci społecznościowe. Joshua Dustin, jeden z kolegów Younga, opracował skrypt, który sprawdzał zasoby Twittera w poszukiwaniu wyrażeń związanych z wybranym słowem, dostarczając jeszcze większą bazę gotowych fraz. Dla każdego słowa utworzona została w ten sposób baza 500 wiadomości. Dzięki temu ogólna baza często używanych wyrażeń stawała się coraz szersza.

Pierwsze testy, przeprowadzone na bazie skrótów MilitarySingles.com, udowodniły, że to dobre źródło. Aż 4400 unikatowych słów pozyskanych z Twittera umożliwiło złamanie 1978 haseł przy wykorzystaniu popularnego programu John The Ripper. Sukces oznacza, że wiele haseł, które na pozór wydają się złożone, można odtworzyć za pomocą znanych i typowych wyrażeń.