headless 曰く、

Ashley Madisonから流出した3,600万件以上のアカウント情報から、パスワードクラックが進められている。既に1,170万件以上のパスワードをクラックしたというCynoSure Primeというグループによれば、使うべきではない弱いパスワードとして紹介されることの多い人気パスワードが上位を占めている一方で、サイト利用者の心情を表すような興味深いパスワードも数多く見つかっているそうだ（CynoSure Prime: クラック手法の解説、クラックされたパスワードの解説、Ars Technicaの記事[1]、[2]、[3]）。

Ashley Madisonのパスワードハッシュ生成にはbcryptが使われており、すべてのパスワードをクラックするには何世紀もかかるとみられていた。しかし、CynoSure Primeはソースコードを解析し、「$loginkey」と名付けられたハッシュ値の生成にMD5が使われていることを発見。こちらをクラックすることにより、数日で数百万件のクラックに成功している。

パスワードはMD5ハッシュ生成前にすべて小文字に変換されているため、bcryptを使用したパスワードハッシュとの照合が必要となる。ただし、実際には大半が小文字のみか小文字と数字の組み合わせだったようだ。なお、2012年6月以降はパスワードを事前にbcryptで処理してからMD5ハッシュを生成するように変更されているが、1,500万件以上のハッシュは変更以前に生成されたものだという。

興味深いパスワードの例としては、「ishouldnotbedoingthis」といった罪悪感を示すものや、「justcheckingitout」のように言い訳じみたもの、サービスの実態に気付いた「theywererobots」といったものがあるという。また、「mypasswordispassword」のように「password」に単語を追加して強くしたと思っているようなものや、xkcdで紹介されている強いパスワードを生成する方法の例「correcthorsebatterystaple」をそのまま使っているものもある。

パスワードの長さは1～28文字で、6～8文字が大半を占める。非常に長いパスワードの中には、ユーザー名やメールアドレスをそのまま使用しているものもあったという。別途、ユーザー名とパスワードが一致するアカウントを調べたところ、3,600万件中63万件が一致したそうだ。また、ユニークなパスワードは486万件ほどで、一番人気は「123456」。以下、「12345」「password」「DEFAULT」「123456789」「qwerty」「12345678」「abc123」「pussy」「1234567」が続く。