RTX 4090 jest niebezpiecznie dobry w łamaniu haseł
Najnowszy flagowy produkt firmy Nvidia oprócz imponującej wydajności w grach lub aplikacjach pokazuje również swoją ciemną stronę.
Łamacz haseł i deweloper, Sam Croley, opublikował na swoim Twitterze wyniki benchmarków wskazujące na to, że RTX 4090 to niezła maszyna do zdobywania haseł. I zarazem bardzo niebezpieczna.
Testy zostały wykonane przy użyciu narzędzia HashCat, służącego do łamania zabezpieczeń. Świetne wyniki nie powinny jednak być zaskoczeniem, ponieważ obecnie najwydajniejsza karta z rodziny Ada Lovelace przoduje we wszystkich rankingach i benchmarkach. Okazuje się, że RTX 4090 jest ponad dwukrotnie szybszy w łamaniu haseł niż RTX 3090, a to wszystko przy zastosowaniu praktycznie dowolnego algorytmu.
Oszacowano również, że odpowiednio przygotowany system do pozyskiwania haseł jest w stanie złamać szyfr o długości ośmiu znaków w około 48 minut! O ile nie jest to proste hasło w stylu „12345678”, bo wtedy cały proces będzie błyskawiczny. Co prawda byłby to dość drogi projekt, ponieważ potrzebne jest użycie ośmiu kart graficznych RTX 4090 o łącznej wartości ponad 77 000 zł (obecnie cena jednej sztuki na polskim rynku zaczyna się 9 699 zł). Jednak dla cyberprzestępców prawdopodobnie nie jest to bariera nie do przekroczenia.
Czy to oznacza duże zagrożenie w cyberprzestrzeni?
Osiągów RTX-a 4090 nie można bagatelizować, jednak nie oznacza to całkowitej anarchii w systemach zabezpieczeń. Jeśli ktoś z Was używa stosunkowo prostego hasła lub co gorsza tego samego na kilku witrynach, do ich kradzieży nie będzie konieczne posiadanie GPU za blisko 10 tys. zł. Już sporo tańsze systemy są w stanie pokonać proste szyfry. Oznacza to, że w momencie, w którym w zasadzie każdy człowiek z nieco zasobniejszym problemem może złamać popularne hasła. Wydaje się, że to najwyższy czas, żeby zacząć używać bardziej skomplikowanych szyfrów lub przesiąść się na menedżera haseł (chociaż tutaj wiele osób ma ograniczone zaufanie do producentów oprogramowania).
Croley odpowiedział również na pytanie, które padło w wątku na Twitterze, dotyczące złamania 15 znakowego hasła NTLM (NT Lan Manager)
Jeśli jest wygenerowane losowo za pomocą czegoś takiego jak menedżer haseł, to jest zbyt długie. W obecnym, pełnym zestawie znaków jest ich 95, a 95 do potęgi 15, to zbyt dużo znaków, aby ktoś mógł je złamać. Tak naprawdę nie ma znaczenia, ile ktoś ma 4090-tek lub kim by nie był, to po prostu za dużo. - Sam Croley
Komentarze czytelników
Butryk89 Senator
Trochę clickbaitowy tytuł (jak zwykle zresztą), bo sugerowałby, że chodzi o jedną kartę, a w tekście dowiadujemy się, że takich musi być 8...
Jerry_D Senator
Algorytmy asymetryczne są powszechnie używane od lat przy przesyłaniu danych (choćby strona z "https"), z tym, że w formie hybrydowej. Asymetrycznie wymienia się klucz kryptograficzny między uczestnikami komunikacji, a same dane już idą szyfrowane symetrycznie, bo to dużo bardziej ekonomiczne obliczeniowo i bezpieczne (zakładając wysoką jakość klucza kryptograficznego).
A asymetryczne szyfrowanie danych w spoczynku to sztuka dla sztuki. Taki AES 256 jeszcze długo będzie zupełnie wystarczający (znów zakładając wysoką jakość klucza/hasła).
Jerry_D Senator
"Na wielu stronach są stosowane różne szyfrowania, np dodanie +salt (co dzisiaj jest juz mega przestarzale)"
Słucham? Dodawanie soli jest przestarzałe? A niby dlaczego?
"nawet jak ktoś użyje hasła 8 znakowego to w bazie danych będzie to kilkanaście razy więcej"
Bo tym się charakteryzuje haszowanie (nie szyfrowanie, nie mylmy pojęć), że czy ciąg wejściowy ma 8, czy 208 znaków, to ciąg wyjściowy będzie miał identyczną długość po zastosowaniu identycznej funkcji haszującej. Ale łatwość złamania zależy od dwóch czynników: długości hasła (nie wynikowego hasza) i tego, jak wymagające obliczeniowo są zastosowane funkcje haszujące. Plus sól nie pozwalająca na skorzystanie z tęczowych tablic.
"Do tego masz różne blokady, np po wpisaniu złego hasła po kilku razach, dwuetapową weryfikacje itp."
A bo to jeden raz wyciekła baza użytkowników wraz z haszami haseł, które sobie potem można na spokojnie łamać offline? A z 2FA też nie każda strona korzysta.
Tasdeadman Generał
Artykuł o ile porusza ważną kwestie to jest kompletnie o niczym.
RTX 4090 nie jest magicznym narzędziem do łamania "szyfrów", ot po prostu mocny sprzęt. Kolejny przeskok mocy łamania zabezpieczeń, który będzie wymagał kolejnego przeskoku mocy zabezpieczeń. Schemat znany od początku istnienia życia na ziemi aż po jej kres.
Z resztą to ma dwie strony, większa moc łamania szyfrów to większa moc szyfrowania, co pozwoli np. na szersze wykorzystanie technik asymetrycznych, które do tej pory były bardzo bezpieczne ale rzadko używane przez wolne działanie związane z brakami mocy obliczeniowej.
lee32147 Konsul
GRYOnline.pl:
tvgry.pl:
