'Wachtwoorden van 8 tekens zijn gewoonweg te kort'

Dat blijkt bij de huidige stand van de techniek echter weinig uit te maken, als men gebruikers toestaat korte wachtwoorden te gebruiken. Lyne probeerde met toestemming van de betrokkenen in te breken op hun iTunes-account. Hij gebruikte daarvoor de software van Elcomsoft die ook bij het hacken van de naaktfoto's van beroemdheden werd gebruikt. Voor de benodigde hardware huurde hij 500 virtuele machines bij Amazon.com. En als aanvulling van de Elcomsoft Phone Password Breaker maakte hij gebruik van uitgebreide lijsten met wachtwoorden die bij eerdere hacks buitgemaakt waren.

Meeste accounts met gemak gekraakt

Dat werd een eclatant succes. Lyne kraakte 7 van de 8 accounts binnen 2 uur. Alleen met de achtste is hij nog wel even bezig. Die gaat naar schatting 11 dagen duren. Het verschil: dat is beschermd met een lang wachtwoord, van 14 tekens. Met de gekozen set-up kan Lyne wachtwoorden van 4 tekens in enkele minuten kraken, en die van 6 tekens binnen enkele uren. Wachtwoorden van 8 tekens zouden een dag of 2 kosten, schat Lyne. Voorwaarde is wel dat men de inlognaam van de gebruiker weet; maar die is in veel gevallen natuurlijk niet zo moeilijk te raden.

Lyne benadrukt dat zijn bevinding geen afbreuk doet aan de beveiligingsmaatregelen die Apple inmiddels heeft genomen. Die zijn naar zijn zeggen 'state of the art'. Zijn experiment bewijst volgens hem echter wel dat langere wachtwoorden een must zijn voor het beveiligen van accounts met gevoelige informatie, en dat aanbieders van webdiensten die ook zouden moeten afdwingen.