Die Security-Forscher Nate Lawson und Taylor Nelson konnten zeigen, dass viele Web-Anwendungen wider Erwarten gegen Timing-Angriffe anfällig sind und sich damit Zugangsaasswörter ähnlich dem Brute-Force-Angriff herausfinden lassen. Das Verfahren beruht darauf, dass Programme etwas länger brauchen ein Passwort zu überprüfen, bei dem das erste Zeichen stimmt, als für die Überprüfung eines komplett falschen Passwort. Damit lässt sich das Programm Buchstabe für Buchstabe ermitteln.
Bisher nahm man an, dass dieses Verfahren über das Internet nicht funktionieren würde, da der Ping und andere Verzögerungen (Millisekunden, tausendstel Sekunden) viel größer sind, als die Zeitdifferenzen bei der Passwortüberprüfung (Nanosekunden, milliardstel Sekunden). Diesen Irrglauben konnten die beiden Forscher aber nun revidieren.
Allerdings sind nur Programme anfällig, die die Passwörter im Klartext abspeichern. Anwendungen, die auf die Sicherheit achten, vergleichen die Zugangsdaten ohnehin in verschlüsselter Form.