RTX 4090 sudėtingą 8 simbolių slaptažodį gali nulaužti per valandą
Pasak „Hive Systems“, įsilaužėliams vis sunkiau nulaužti slaptažodžius, nes plačiai naudojami stipresni šifravimo algoritmai, pvz., bcrypt, kuris daugelyje svetainių ir interneto paslaugų pakeičia MD5 šifravimo technologiją. Tačiau stiprėjant aparatinei įrangai, kiekvienais metais paprastus slaptažodžius nulaužti darosi vis greičiau ir lengviau.
Remiantis 2024 m. „Hive Systems“ slaptažodžių lentele, 8 simbolių slaptažodį 12 RTX 4090 grafikos procesorių masyvas gali nulaužti vos per 37 sekundes, jei jame yra tik skaičiai be raidžių ar simbolių. Tačiau šis laikas pailgėja iki įspūdingų 7 metų, jei slaptažodyje naudojamas rekomenduojamas skaičių, didžiųjų ir mažųjų raidžių bei simbolių derinys, todėl jį nulaužti naudojant brutalią jėgą yra daug sunkiau.
„Hive“ taip pat išbandė 10 000 A100 grafikos procesorių – tos pačios techninės įrangos, kuri varo „ChatGPT“ – gebėjimą nulaužti slaptažodžius. Remiantis duomenimis, moderniausia techninė įranga teoriškai gali nulaužti atsitiktinai sugeneruotas 8 simbolių bcrypt slaptažodžius vos per 5 dienas. Nors daugumai kibernetinių nusikaltėlių sindikatų nebus praktiška naudoti tokią aparatinę įrangą, tai leidžia suprasti, ką įsilaužėliai gali padaryti, jei jiems būtų suteiktas neribotas biudžetas.
MD5 slaptažodžiais apsaugotų slaptažodžių skaičiai yra gerokai mažesni. Šiuo atveju tik viena RTX 4090 gali nulaužti sudėtingą 8 ženklų slaptažodį su skaičiais, mažosiomis ir didžiosiomis raidėmis bei simboliais vos per 59 minutes. Tai gerokai daugiau nei su RTX 3090, kuriai tam pačiam slaptažodžiui nulaužti prireiktų 2 valandų.
Slaptažodžiams nulaužti reikalingam laikui išmatuoti „Hive“ naudojo šifravimo programinę įrangą „Hashcat“. Atkreipkite dėmesį, kad tyrime neatsižvelgta į daugiafaktorinio autentifikavimo (MFA), kuris su kiekviena diena tampa vis labiau paplitęs, naudojimą. Dauguma kibernetinio saugumo specialistų pataria žmonėms naudoti MFA visose savo internetinėse paskyrose ir taip suteikti antrą apsaugos lygį.
Loading ...
Tas veikia tik pavieniams užšifruotiems failams, bet į sistemas patekti nebus taip paprasta-save gerbiančios organizacijos neduos ilgai purkšti slaptažodžių. Kai kalbame apie bent 1 000 000 000 kombinacijų, kitur po 10-20 bandymų banas uždedamas 🙂 dėl ko neretai reikalaujamas slaptažodis bent 12 simbolių ilgio ir dar prievartauja spec simbolį suraityti. Pagal lentele 164 m. generavimo 🙂
Manau čia kalba apie nulaužima, kai hash’as jau turimas – nutekėjęs (sočiai yra duombazių online paviešintų su pass hashais). Net jei online sistemoj nebūtų kažkokios laiko ar bandymų apsaugos, šitas nulaužimas realiom sąlygom sunkiai galimas dėl didelio vėlavimo – duosi delfiui username ir pass, per kiek laiko grįš teigiamas arba neigiamas atsakymas? Pusę sekundės? Kiek laiko reiks prasukti kombinacijai iš 8 visų simbolių, nors aišku protingos apsaugos reikalingos. Bet kad dabar jau su second factor authorization dauguma rimtesnių projektų eina…
Nebeužtenka žinoti, reikia jau ir turėti (ar smart id, ar prieigą prie telefono, ar mobile id, ar tą patį kodų generatorių).
Ir tas pats MFA per žioplumą kartais apeinamas 🙂
Dirbu gan didelej international imonej. Kosmosas kaip ten public facing DBA kur jokie MFA neuzeti sukasi 😀 Yra security group bet is kazkokio kompromituoto tinklo visa tai paprasta paleis ir niekas taves neblokuos belenkiek passwords prasukus.