ich verstehe das überhaupt nicht. Offensichtlich sind viele der verschlüsselten Passwörter identisch, da die Hex-Werte übereinstimmen. Was aber die "Lösung" zu den jeweiligen Hints sein soll, erschließt sich mir nicht.

Viele Benutzer mit demselben Passwort verwenden unterschiedliche "ich habe mein Passwort vergessen"-Hinweise. Durch gutes raten kann man so das Passwort ermitteln, egal wie komplex die Verschlüsselung ist.

Aufgrund der Passworthinweise und dutzenden Benutzern die dasselbe Passwort haben ist es hier sehr leicht Passwörter zu erraten.

Wie genau? Und was genau meinst Du mit einer "Schlüsselableitung"?

Das Passwort muss nicht durch eine Funktion gejagt werden bei der dieselbe Ausgangszeichenkette denselben Schlüssel erhält - wenn 2x dasselbe Passwort verschlüsselt wird, müssen zwei unterschiedliche Zeichenketten rauskommen. Die einfachste Lösung dafür ein ein simpler Salt den man dem Klartextpasswort voranstellt (nur eine Nummer komplizierter). Brauchbare Verfahren sind hier PBKDF2 oder bcrypt.

Es ist traurig, dass selbst bei riesigen Konzernen so schlampig gearbeitet wird.

Das ist ja nun nicht das erste Mal, dass soetwas bekannt wird - und bei dem periodischen Sicherheitsdebakel bei Acrobat und Flash darf man wahrlich nicht bestes Handwerk erwarten!

Und wird auch nicht das letzte mal sein.