La primera de las vulnerabilidades que ha descubierto este grupo de científicos está relacionada con el bloqueo de las cifras. Su actual sistema permitiría adivinar a un hacker si un conjunto de datos consta de más de siete caracteres. Este fallo por si mismo no es suficiente para que el pirata penetre en el sistema, pero le ayuda a calcular la longitud aproximada del password. El segundo agujero de seguridad da mucho más juego y llama más la atención que el anterior. Para descubrirlo se aplicó la técnica de los "intervalos de tiempo" procedente del modelo matemático conocido como "Hidden Markov Model" que combina una secuencia de clave con un algoritmo de predicción. Los investigadores afirman que el tiempo transcurrido entre uno y otro golpe de teclado, mientras se escribe la palabra de acceso, puede revelar información muy importante sobre la contraseña. Cada carácter que el usuario pulsa en el teclado se envía inmediatamente a un servidor remoto en paquetes separados de IP independientes. Segùn los investigadores, esto deja al descubierto la información sobre la manera que tiene el usuario de pulsar el teclado lo que le permitiría a un "curioso" conocer información vital sobre datos de usuarios, como passwords bajo SSH.

Con los resultados obtenidos, los científicos realizaron un sistema de ataque, al que denominaron Herbivore, que demostraba la posibilidad de conocer las contraseñas de los usuarios vigilando sesiones bajo protocolo SSH. Además, advierten que recogiendo la información de la sincronización en la Red, Herbivore puede aumentar la velocidad de una búsqueda exhaustiva de la contraseña en un 50%. Cabe destacar que estos resultados no sólo se podrían aplicar a SSH sino que se extienden en general a todos los protocolos de encriptación.