Troy Hunt นักวิจัยความปลอดภัยไซเบอร์ผู้ก่อตั้งโครงการ Pwned Passwords นำรหัสผ่านหลุกดจากเว็บ CashCrate ที่หลุดมาตั้งแต่ปี 2016 มาสำรวจพบว่า 86% ของรหัสผ่านที่หลุดออกมาซ้ำกับรหัสที่หลุดออกมาก่อนหน้านี้แล้ว รหัสผ่านที่ซ้ำกับที่หลุดมาก่อนหน้าส่วนมากเป็นรหัสผ่านคุณภาพแย่ เช่น "123456", "qwerty", หรือ "password" แต่ที่น่าสนใจคือมีรหัสผ่านคุณภาพดีที่ยาวกว่าขั้นต่ำที่แนะนำ มีความซับซ้อนมากพอ แต่กลับมีการใช้งานในบริการที่รหัสผ่านหลุดมาก่อนแล้ว เช่น "D*lishmars3an0eei3", "20921147_bronzegoddess", "anchorage alaska", หรือ "i like to have sex" รหัสผ่านจำนวนหนึ่งแม้จะยาวพอ และไม่อยู่ในฐานข้อมูลมาก่อนแต่ก็คาดเดาได้ง่าย เพราะใช้ชื่อเว็บเอง เช่น "cashcrate123", "CashCrate", "mycashcrate" คำแนะนำการยืนยันตัวตนผู้ใช้ของ NIST หรือ NIST 800-63B ระบุให้ผู้ให้บริการต้องตรวจสอบรหัสผ่านว่าเป็นรหัสผ่านคุณภาพต่ำหรือไม่ โดยควรตรวจจากฐานข้อมูลที่หลุดออกมาก่อนหน้า, คำในพจนานุกรม, การใช้ตัวอักษรซ้ำๆ, และการใช้รหัสผ่านเป็นชื่อผู้ใช้หรือชื่อบริการ ฐานข้อมูล Pwned Passwords เปิดให้ดาวน์โหลดไปใช้งานในองค์กรได้ โดยมีรหัสผ่านรวม 306 ล้านรายการ ที่มา - Troy Hunt Topics: PasswordSecurity