Нова ера в киберсигурността: Как RTX 5090 промени разбиването на пароли
Изследователи от Specops актуализираха своето изследване за разтрошаване на пароли, предпазени с логаритъма bcrypt. Преди две години те към този момент разгласиха сходни данни, само че от този момент пазарът на хардуер се промени доста: взривът на изкуствения разсъдък и възходящата потребност от изчислителна мощност направиха най-хубавите графични карти по-достъпни и по-евтини от всеки път.
Не става въпрос единствено за геймплей. Съвременните графични процесори се употребяват за образование на огромни езикови модели, а свободното им време постоянно се отдава чартърен в услуги като vast.ai. Същият хардуер може да работи и в различен сюжет – да вземем за пример при офанзивите с хеширани пароли.
В новото изследване екипът е употребявал клъстер с осем RTX 5090 – това са картите, които през днешния ден са се трансформирали в „ рационалния най-малко “ за атакуващите. В същото време наемането на подобен мощен хардуер в облака коства към 5 $ на час, което прави сходни офанзиви напълно налични даже за дребни групи. Съществуват обаче и по-сериозни конфигурации – да вземем за пример хостове с 16 видеокарти едновременно.
За разлика от предходните измервания, откривателите не са употребявали остарелия коефициент на трудност на bcrypt от 5, а са взели по-надеждни стойности от 10 и повече. За тестванията те са генерирали 750 хиляди хеша въз основа на известния лист с действителни пароли от RockYou. Колкото по-висок е коефициентът на трудност, толкоз повече време лишава освен разбиването, само че и генерирането: да вземем за пример за основаването на база с параметър 14 бяха нужни съвсем пет часа, даже на мощна работна станция.
Получените данни демонстрираха, че RTX 5090 е с към 65% по-бърз от предшественика си при работа с bcrypt. Увеличаването на сложността обаче отчасти компенсира това нарастване на продуктивността. В резултат на това късите и елементарни пароли като „ 123456 “ и „ admin “ към момента са лесни за разтрошаване, само че дългите комбинации – изключително над 12 признака – стават съвсем неуязвими за жестоко разтрошаване.
Таблицата с времето за хакване демонстрира, че късите пароли, формирани от елементарни набори от знаци, могат да бъдат уловени неотложно – четири- и петцифрените пароли се разрушават незабавно, а шестцифрените пароли, формирани от числа и букви – за минути или часове. Но в случай че една осемцифрена ключова дума включва числа, букви от разнообразни падежи и специфични знаци, тогава времето за разтрошаване нараства до хиляди години. А като се стартира от 12 знака с цялостен набор от класове знаци, изборът става съвсем неосъществим в границите на един рационален период.
Важно е да се разбере, че действителните офанзиви рядко се основават на напълно груба мощ. По-често се употребяват речници, правила за превръщане или целеви описи, формирани да вземем за пример от корпоративни уеб уеб сайтове. Но точно грубата мощ дава съществена оценка на изчислителните благоприятни условия на нападателя и дава съображение да се разбере какъв брой са значими дължината на паролата и ентропията.
Изследователите акцентират, че единствено сложността на хеширането не е задоволителна. Ако паролата към този момент е била компрометирана и е влезнала в базата данни за приключване на информация, никакъв bcrypt няма да помогне. В този случай отбраната е нулева.
Поради тази причина се предлага да се построи цялостна политика за организациите: минимална дължина от най-малко 18 признака, наложително потребление на разнообразни типове знаци, поддръжка на дълги изречения за пароли. Освен това би трябвало да въведете личен речник, който блокира думите, свързани с организацията – изключително името на компанията и нейните артикули. За да съставите подобен лист с блокове, можете да употребявате помощната стратегия CeWL, като я стартирате върху обществените запаси на компанията.
Изводът от изследването е елементарен: хакването е станало по-достъпно заради увеличението на хардуерната мощност, само че отбраната към момента работи, в случай че употребявате дълги и неповторими пароли. Ентропията и дължината остават главен фактор за сигурността в свят, в който графичните процесори могат да се наемат за 5 $ на час.
