De wachtwoorden van Adobe-gebruikers die zijn buitgemaakt bij een recente aanval op Adobe-servers, waren niet gehasht, zoals wordt aangeraden, maar werden allemaal met dezelfde key versleuteld. Bij de aanval werden 3,4 miljoen Nederlandse e-mailadressen buitgemaakt.
De wachtwoorden van de 150 miljoen buitgemaakte accounts waren versleuteld met het 3des-algoritme, heeft Adobe toegegeven tegenover CSO Online. Eerder claimde Ars Technica al dat 3des werd gebruikt. Dat algoritme is gebaseerd op het inmiddels achterhaalde data encryption algorithm: data wordt drie keer met des versleuteld, om brute force-aanvallen moeilijker te maken.
Desondanks zijn de wachtwoorden van gebruikers nu makkelijker te achterhalen dan wanneer de wachtwoorden zouden worden gehasht, zoals wordt aangeraden. Bij gebruik van een veilig hashing-algoritme, zoals sha-2 of pbkdf2, is het wachtwoord niet te achterhalen, omdat hashing in principe maar één kant op werkt: de originele waarde is niet af te leiden uit de gehashte waarde. Bij het inloggen wordt de hash berekend uit de invoer van de gebruiker, waarna die wordt vergeleken met de opgeslagen hash. In combinatie met een salt, een unieke waarde die wordt toegevoegd aan het wachtwoord, is het wachtwoord daarmee nog beter beveiligd: daardoor hebben zelfs twee identieke wachtwoorden niet dezelfde hash.
De meeste wachtwoorden zijn alsnog niet triviaal te achterhalen, tenzij de hackers de hand op de gebruikte encryptiesleutel weten te leggen: alle wachtwoorden zijn namelijk met dezelfde secret versleuteld. Om die reden wist beveiligingsonderzoeker Jeremi Gosney een overzicht te maken van de meestgebruikte wachtwoorden: veel gebruikers verwerkten hun wachtwoord in hun wachtwoordhint, en zodra van één gebruiker het wachtwoord bekend was, kan worden bekeken hoeveel gebruikers hetzelfde wachtwoord hebben, omdat voor elk wachtwoord dezelfde sleutel werd gebruikt.
Uit het onderzoek van Gosney blijkt dat het wachtwoord '123456' verreweg het populairst was: die werd 1,9 miljoen keer gebruikt. Ook '123456789', 'password' en 'adobe123' werden echter honderdduizenden keren gebruikt. Bij de aanval op Adobe werden gegevens van 150 miljoen gebruikers ontvreemd; daarvan waren er waarschijnlijk 38 miljoen daadwerkelijk actieve gebruikers. E-mailadressen die eindigen op '.nl' kwamen 3,4 miljoen keer voor. Verder werden versleutelde creditcardgegevens buitgemaakt; of die beter zijn beveiligd, is onduidelijk. Daarnaast werd broncode van onder meer Photoshop en Acrobat gestolen.