Van de 1,5 miljoen gehashte wachtwoorden van datingsite eHarmony die begin juni gelekt werden, zijn er 1,2 miljoen binnen 72 uur gekraakt. Beveiligingsbedrijf Trustwave gebruikte een zelfgebouwd systeem met drie Nvidia 460GTX kaarten en het programma oclHashcat, dat onderdeel van de Hashcat 'cracking suite' is. Tevens werd wachtwoordkraker John the Ripper gebruikt.

Van de 1,5 miljoen werden er binnen drie dagen 1,2 miljoen gekraakt, oftewel zo'n 80%. De wachtwoorden waren met MD5 gehasht, maar niet gesalt. Daarnaast werd er ook geen onderscheid tussen letters en hoofdletters gemaakt, wat de tijd van het kraken "drastisch verkort", aldus de onderzoekers. Er zijn namelijk veel minder mogelijkheden.

Een ander opmerkelijk iets dat de onderzoekers ontdekten is dat geen enkel wachtwoord meer dan drie keer voorkwam. De op internet gelekte database is mogelijk dan ook aangepast.

Beleid
De meeste wachtwoorden waren zeven karakters (23%) kort, gevolgd door zes (21%) en acht (19%) karakters. De meeste wachtwoorden blijken cijfers en letters te bevatten, wat volgens de onderzoekers al een verbetering ten opzichte van andere gelekte wachtwoorden is. Vier procent van de wachtwoorden waren de Top 100 populairste jongensnamen uit 2011, gevolgd door de Top 100 hondennamen uit hetzelfde jaar (3,5%). De Top 100 meisjesnamen uit 2011 en maanden van het jaar volgen met elk 2%.

De onderzoekers concluderen dat websites sterkere hashes en salts moeten gebruiken, en daarnaast een strenger wachtwoordbeleid moeten hanteren. "Gebruikers begrijpen namelijk nog steeds niet de noodzaak voor sterke wachtwoorden, en zullen alleen wachtwoorden kiezen die aan de minimale vereisten voldoen."