Závěry své studie představila společnost Imperva, která se specializuje na zabezpečení databázových systémů. Důležitým zdrojem informací při vypracovávání studie jí byl seznam 32 milionů hesel, která byla prolomena při útoku na uživatelské účty na stránkách RockYou, tvůrce populárních aplikací pro některé sociální sítě. Útočníci později tento seznam napadených hesel vyvěsili na internetu.
Analýza těchto hesel podle společnosti Imperva ukázala, že velké množství uživatelů stále nevěnuje výběru hesla dostatečně velkou pozornost a naopak často volí jednoduché a snadno zapamatovatelné kombinace, ovšem s minimálním ochranným účinkem. Až 30 % všech hesel obsažených v seznamu mělo šest nebo méně znaků. V 60 % případů navíc šlo jen o omezenou skupinu alfanumerických znaků, přičemž více než polovina všech uživatelů používala snadno odhalitelná jména, sousedící klávesy či po sobě jdoucí číslice.
To dokazuje i fakt, že nejčastějším heslem v seznamu bylo „123456“, které následují „12345“ a „123456789“. Do pomyslného žebříčku TOP 5 se pak ještě vešla hesla „password“ a „iloveyou“.
„Většina z 5 tisíc nejpoužívanějších hesel v seznamu je obsažena ve slovníku používaném hackery k tzv. brute-force útoku na uživatelské účty“ uvedl Amichai Shulman, technický ředitel Impervy. Pro útočníky by podle něj nepředstavovalo žádnou překážku téměř každé druhé heslo.
Imperva rozhodně není první společností, která by na tuto problematiku upozorňovala. Co ji však odlišuje, je velikost vzorku použitého pro účely její studie. Ačkoliv šlo o hesla k uživatelským účtům s poměrně nízkou hodnotou, předchozí studie ukázaly, že uživatelé mají tendenci používat stejně málo bezpečná hesla i pro své podnikové či finanční účty.