由于Stratfor在其用户的电子邮件地址和其他个人详细信息被泄露的网络攻击后继续重建其网站，该公司因其薄弱的密码和安全政策而受到抨击。攻击者违反了战略预测，并窃取了属于个人和组织的200GB数据，这些数据已于12月24日注册访问其出版物以进行全球情报分析。此后，已从注册数据库中丢弃了860,000多个密码哈希。

《技术先驱报》分析了泄露的文件，并使用常见的暴力工具和基本设备在不到5小时的时间内就能破解81883个密码哈希。

Tech Herald的史蒂夫·拉根(Steve Ragan)写道：“进行破解的系统并不是目前功能最强大的系统，但是可以很好地完成工作。” 密码列表是使用名为Hashcat的免费基于CPU的哈希破解器破解的，并且可以在线找到各种词典列表。

Hashcat使用一组包含常用密码，国会议员的姓名，《国王詹姆斯圣经》中的单词，各种计算机专业术语和编程短语，以前从Gawker和其他站点中转储的列表以及其他列表的列表，能够破解25,690个密码。更广泛的列表使用了来自各种语言的单词和短语以及常见的三字符和四字符密码，其中还包括21,933个散列破解的哈希。分析显示，Hashcat用了不到一个小时的时间破解了47,000个密码哈希。

SaskTel的技术分析师里克·万纳(Rick Wanner)在SANS研究所的网站上写道，《技术先驱报》尝试破解密码散列所使用的技术“一无所有”，并且“很可能与坏人将使用的密码非常相似。Internet Storm Center博客。Wanner说，分析强调了依赖密码的弱点。

Wanner说：“安全性中最薄弱的环节是用户。”他指出，必须对用户进行良好的密码创建和管理方面的教育。

破解的密码列表显示出高度的密码，其中使用了生日，家庭成员的姓名或带有个人参考的名称(例如“ ford1996”)。与诸如“ 123456”和“ qwerty”之类的“可丢弃”密码不同，这些个人密码更易于在其他站点上重用，因为它们更易于用户记住。

Gartner研究副总裁Jay Heiser认为，跨多个帐户重复使用密码是一种公认​​的现象。用户越来越难以记住复杂的密码，因为需要密码的应用程序数量越来越多，而且更改频繁。

他说：“与其告诉用户不要写下他们的密码，不如要求他们像对待自己的钱一样认真对待密码。”

Heiser说，虽然企业无法可靠地跟踪用户是否在公司应用程序上从其个人帐户中重复使用密码，但他们应确保所有公司密码都是强大且唯一的，并且需要定期更改密码以避免重复使用密码。

他们代表的公司和政府机构通常是情报界的一部分，应被视为对认证非常了解。安全顾问Brian Honan在SANS研究所的新闻通讯中写道：“考虑到使用Stratfor网站的人员的专业概况，我发现看到许多人使用简单易猜的密码令人沮丧。”

Stratfor的策略建议用户选择六个字符(至少一个数字)的密码。但是，Stratfor显然没有执行该建议，因为《先驱报》发现了少数选择了单个字符作为密码的用户。

ESET安全研究员Cameron Camp说，Stratfor事件应该是“提醒”，以重新考虑密码的复杂性并更新频率策略。

根据互联网投诉中心 12月29日发布的诈骗警报，最常见的25个密码仍然很弱，通常不会混合使用大小写或数字和字母的组合。该警报基于从执法部门收集的数据以及提交给IC3的用户投诉。IC3写道：“用户在建立密码时优先考虑了便利性而不是安全性。”他指出，人们正在创建易于记忆的密码，并且可以与他人自由共享密码。

自攻击以来，Stratfor的网站一直处于关闭状态，因为团队重建了网站并部署了安全措施。

Stratfor 在一封电子邮件中告诉eWEEK： “我们目前正在调查这一不幸的事件，并努力防止再次发生。因此，我们推迟了网站的恢复，直到我们可以进行全面的安全审查为止。”