Восемь RTX 4090 могут взломать обычный пароль менее чем за час

Специалист по информационной безопасности Сэм Кроули опубликовал в Твиттере результаты тестов, которые показывают возможности видеокарты Nvidia RTX 4090. Правда, исследовал он не графические возможности, а способность взламывать пароли.

Восемь RTX 4090 могут взломать обычный пароль менее чем за час

Флагманская видеокарта уверенно побила рекорды предыдущего лидера, RTX 3090, удвоив результаты для большинства тестируемых алгоритмов. Она эффективна, даже если сталкивается с протоколом аутентификации Microsoft New Technology LAN Manager (NTLM) и Bcrypt.

Вероятно, это результат того, что Nvidia вкладывает значительные средства в разработку графических чипов, стремясь повысить производительность центров обработки данных.

Восемь RTX 4090 могут взломать обычный пароль менее чем за час

Взломанные пароли соответствовали актуальным методам безопасности и состояли из букв в случайном регистре, символов и цифр. По сути, это означает, что любой геймер с RTX 4090 может взломать средний пароль за считанные дни — и это при условии, что вы будете следовать правильной практике установки пароля (а большинство из нас определённо этого не делает).

Тесты проводились с помощью HashCat V.6.2.6. Этот инструмент известен в ИБ-среде и предназначен для системных администраторов и специалистов по кибербезопасности (кстати, Кроули был одним из разработчиков этого ПО). HashCat позволяет исследователям проверять или подбирать пароли пользователей в тех случаях, когда это требуется.

RTX 4090 блистал в нескольких типах атак, предусмотренных в программном обеспечении HashCat: атаки по словарю, комбинаторные атаки, атаки по маске, атаки на основе правил и брутфорс-атаки.

Восемь RTX 4090 могут взломать обычный пароль менее чем за час

Исследователи подсчитали, что специально созданная установка для хеширования паролей (сопряженная с восемью графическими процессорами RTX 4090) может взломать восьмизначный пароль за 48 минут. Согласно Statista и данным за 2017 год, 8-символьные пароли являются наиболее распространёнными среди утёкших паролей, их доля составляет 32%. Это не означает, что они наименее безопасны, но это самая распространённая длина символа пароля. И теперь их можно вычислить менее чем за час с помощью «специализированной» хеш-машины.

Ещё один интересный момент, на который стоит обратить внимание: взлом пароля связан с затратами. Инвестировать в RTX 4090 за 1600 долларов может не каждый, и каждая попытка взлома пароля также потребует затрат на электроэнергию. Так что дело не только в желании, но и в возможностях. RTX 4090 снижает стоимость фактического взлома пароля, но это происходит каждый раз, когда появляются более мощные графические процессоры, а алгоритмы безопасности остаются относительно статичными. У Сэма Кроули есть интересный аналитический пост, в котором подробно описаны реальные соотношения $/хеш.

Хотя результаты тестов могут показаться угрожающими, важно отметить, что подход может иметь только ограниченный набор реальных вариантов использования. Не каждый владелец RTX 4090 будет использовать свою топовую видеокарту для взлома паролей. Кроме того, взлом паролей с инструментами типа HashCat обычно пригоден для офлайн-активов, а не для онлайн-ресурсов. Так что шансы на то, что ваш компьютер станет целью ненормального владельца RTX 4090, взламывающего пароли, невелики.

Комментаторы в блоге Кроули нашли ещё один вариант использования RTX 4090, которое никак не относится к инфобезу.

Восемь RTX 4090 могут взломать обычный пароль менее чем за час

P. S. А мы напоминаем про второй сезон нашего сериала ITить-колотить. Его можно посмотреть на YouTube и ВКонтакте.

195195
71 комментарий

Комментарий недоступен

64

Так видеокартами никогда онлайн пароли и не перебирали) Это скорее для утекших баз с хешами и прочих хендшейков вай-фаев актуально.

30

Я ещё не видел ни одной корпоративной сети с двухфакторкой на рабочих местах.

4

Единственное его применение это расшифровка запароленых ZIP файлов....или украденных хэшей.

4

Не везде есть 2FA, а NTLM это вообще другое. На сервере AD валяется захешированный дамп всех паролей юзеров. Условно USER1 - PASSWORD1. Для того чтобы подобрать это все дело, теперь понадобиться меньше времени.
В стать хешкет, это не брутфорс. Эта утилита расхешировывает базы паролей. То, что когда то взламывалось за 4 месяца, теперь можно вскрывать за пару дней. Но, чем пароль сложнее, тем труднее его расхешировать. Так, я помню что виндовая база где 12 символьный пароль, в котором содержится 4 обязательных группы разных символов, ломалась на 12 2080ti за 7 месяцев. Поэтому везде требуют менять пароль раз в 3 месяца. А на последней конфе майков сказали что уже нужно переходить на 14 символов. И это NTLM, один из самых криптостойких алгоритмов. А вот твои данные на DTF, rutracker и прочем порнолабе, у Сони, в Ориджине ты не знаешь каким алгоритмом все зашифровано. Если чел получит базу с каким нибудь sha1 он ее сдампит за 6 часов на одной карточке и пока твой аккаунт. Я ИБшник сам и могу сказать что защита паролей аля 5 раз ввел и гг это просто защита от брутфорса и всяких уборщиц в офисе. Пароли же очень уязвимая штука, если беспокоитесь о своем цифровом имуществе, везде используйте 2 фактор. Но надо понимать, что и 2FA можно угнать, но это очень целевые и сложные атаки, которые скорее всего не будут применяться на вас, если вы не суперзвезда блогер миллионник президент глава кгб etc

4

Ого, значит мне нужно всего то 4 4090 чтобы взломать зип файл с фотками кисок?

Ага, а как же мой KeePass файл. Вот если он попадёт таким друзьям в руки - скок у них займёт его взломать?
Регистр, Верхний, Нижний, цифры + символы. Длинна 25-40

1