By Adrian Kingsley-Hughes |
Think again!
Jon Honeyball writing for PC Pro has a sobering piece on how the modern GPU can be leveraged as a powerful tool against passwords once considered safe from bruteforce attack.
Take a cheap GPU (like the Radeon HD 5770) and the free GPU-powered password busting tool called ’ighashgpu‘ and you have yourself a lean, mean password busting machine. How lean and mean? Very:
The results are startling. Working against NTLM login passwords, a password of “fjR8n” can be broken on the CPU in 24 seconds, at a rate of 9.8 million password guesses per second. On the GPU, it takes less than a second at a rate of 3.3 billion passwords per second.
Increase the password to 6 characters (pYDbL6), and the CPU takes 1 hour 30 minutes versus only four seconds on the GPU. Go further to 7 characters (fh0GH5h), and the CPU would grind along for 4 days, versus a frankly worrying 17 minutes 30 seconds for the GPU.
It gets worse. Throw in a nine-character, mixed-case random password, and while a CPU would take a mind-numbing 43 years to crack this, the GPU would be done in 48 days.
Surely throwing symbols in there keeps you safe, right? Wrong! Take a password consisting of seven characters, mixed-case/symbols random password like ‘F6&B is’ (note the space), that’s gotta be tough for a bruteforce attack. Right? A CPU will take some 75 days to churn through the possibilities, while a GPU is done with it in 7 hours.
What’s the solution? Well, Honeyball doesn’t know, and neither do I to be perfectly honest. What I do know is that this is a warning, and one that we need to take seriously. Unless we’re willing to move onto 15-16 characters, mixed-case/symbols random password (which will end up on Post-It Notes), passwords will soon only offer protection against honest people.
Via: SimonZerafa of PC-Technical]
Tham Khao : http://www.zdnet.com/blog/hardware/cheap-gpus-are-rendering-strong-passwords-useless/13125?tag=mantle_skin;content
---------------------------------------------------------------------------------------------------------------------------------
Theo : http://echip.com.vn/echiproot/html/2011/286/matkhau.html
| Mật khẩu của bạn có thể bị crack trong nháy mắt bằng… GPU giá rẻ |
| Bạn nghĩ rằng mật khẩu 8 ký tự gồm các chữ thường, chữ hoa và chữ số của mình đủ mạnh để bảo vệ khỏi các cuộc tấn công bruteforce? Hãy nghĩ lại! |
| Sử dụng 1 GPU giá rẻ (như Radeon HD 5770) cùng công cụ tấn công mật khẩu miễn phí gọi là ' ighashgpu', bạn đã có trong tay một cỗ máy tấn công nhỏ gọn có sức mạnh hủy diệt. Hủy diệt đến mức nào? |
 |
"Rất ấn tượng. Với phương thức đăng nhập NTLM, mật khẩu "fjR8n" có thể bị crack bằng CPU trong 24 giây, tỉ lệ 9,8 triệu mật khẩu/giây. Bằng GPU, chỉ mất ít hơn một giây với tỷ lệ 3,3 tỉ mật khẩu/giây. |
Tăng mật khẩu lên 6 ký tự (pYDbL6), CPU mất 1 tiếng rưỡi so với chỉ 4 giây trên GPU. Tăng lên đến 7 ký tự (fh0GH5h), CPU phải mất 4 ngày, so với 17 phút 30 giây cho GPU". |
Trường hợp mật khẩu gồm 9 ký tự ngẫu nhiên, trong khi CPU phải mất 43 năm để crack, GPU chỉ mất 48 ngày. |
Thêm vào các biểu tượng (symbol) sẽ giúp bạn an toàn? Sai! Với mật khẩu gồm 7 ký tự, gồm cả biểu tượng như “F6 & B" (chú ý ký tự trắng), CPU sẽ mất khoảng 75 ngày để crack, trong khi GPU thực hiện trong 7 giờ. |
Giải pháp là gì? Tôi thực sự không biết, nhưng chúng ta cần suy nghĩ nghiêm túc. Trừ khi bạn sẵn sàng sử dụng mật khẩu 15-16 ký tự/biểu tượng ngẫu nhiên, mật khẩu của bạn sẽ chỉ để bảo vệ chống lại những người trung thực. |
Cập nhật: Theo kết quả trang này, 4 x HD 5970 card (8 x GPU) có khả năng giải mã 33 tỉ mật khẩu/giây, nghĩa là giảm thời gian tấn công xuống 10 lần so với HD 5770 ở trên. |
