Cheap GPUs are rendering strong passwords useless


By |

Think that your eight-character password consisting of lowercase characters, uppercase characters and a sprinkling of numbers is strong enough to protect you from a brute force attack?

Think again!

Jon Honeyball writing for PC Pro has a sobering piece on how the modern GPU can be leveraged as a powerful tool against passwords once considered safe from bruteforce attack.

Take a cheap GPU (like the Radeon HD 5770) and the free GPU-powered password busting tool called ’ighashgpu‘ and you have yourself a lean, mean password busting machine. How lean and mean? Very:

The results are startling. Working against NTLM login passwords, a password of “fjR8n” can be broken on the CPU in 24 seconds, at a rate of 9.8 million password guesses per second. On the GPU, it takes less than a second at a rate of 3.3 billion passwords per second.

Increase the password to 6 characters (pYDbL6), and the CPU takes 1 hour 30 minutes versus only four seconds on the GPU. Go further to 7 characters (fh0GH5h), and the CPU would grind along for 4 days, versus a frankly worrying 17 minutes 30 seconds for the GPU.

It gets worse. Throw in a nine-character, mixed-case random password, and while a CPU would take a mind-numbing 43 years to crack this, the GPU would be done in 48 days.

Surely throwing symbols in there keeps you safe, right? Wrong! Take a password consisting of seven characters, mixed-case/symbols random password like ‘F6&B is’ (note the space), that’s gotta be tough for a bruteforce attack. Right? A CPU will take some 75 days to churn through the possibilities, while a GPU is done with it in 7 hours.

What’s the solution? Well, Honeyball doesn’t know, and neither do I to be perfectly honest. What I do know is that this is a warning, and one that we need to take seriously. Unless we’re willing to move onto 15-16 characters, mixed-case/symbols random password (which will end up on Post-It Notes), passwords will soon only offer protection against honest people.

 

[UPDATE: Take a look at this – whitepixel 2 running with 4 x HD 5970 cards (8 x GPUs) capable of 33.1 billion MD5 password hashes/sec.

 

Via: SimonZerafa of PC-Technical]

 

 

Tham Khao :  http://www.zdnet.com/blog/hardware/cheap-gpus-are-rendering-strong-passwords-useless/13125?tag=mantle_skin;content

 

Mật khẩu của bạn có thể bị crack trong nháy mắt bằng… GPU giá rẻ

 

Bạn nghĩ rằng mật khẩu 8 ký tự gồm các chữ thường, chữ hoa và chữ số của mình đủ mạnh để bảo vệ khỏi các cuộc tấn công bruteforce? Hãy nghĩ lại!

 

Sử dụng 1 GPU giá rẻ (như Radeon HD 5770) cùng công cụ tấn công mật khẩu miễn phí gọi là ‘ ighashgpu’, bạn đã có trong tay một cỗ máy tấn công nhỏ gọn có sức mạnh hủy diệt. Hủy diệt đến mức nào?

 

 

“Rất ấn tượng. Với phương thức đăng nhập NTLM, mật khẩu “fjR8n” có thể bị crack bằng CPU trong 24 giây, tỉ lệ 9,8 triệu mật khẩu/giây. Bằng GPU, chỉ mất ít hơn một giây với tỷ lệ 3,3 tỉ mật khẩu/giây.

 

Tăng mật khẩu lên 6 ký tự (pYDbL6), CPU mất 1 tiếng rưỡi so với chỉ 4 giây trên GPU. Tăng lên đến 7 ký tự (fh0GH5h), CPU phải mất 4 ngày, so với 17 phút 30 giây cho GPU”.

 

Trường hợp mật khẩu gồm 9 ký tự ngẫu nhiên, trong khi CPU phải mất 43 năm để crack, GPU chỉ mất 48 ngày.

 

Thêm vào các biểu tượng (symbol) sẽ giúp bạn an toàn? Sai! Với mật khẩu gồm 7 ký tự, gồm cả biểu tượng như “F6 & B” (chú ý ký tự trắng), CPU sẽ mất khoảng 75 ngày để crack, trong khi GPU thực hiện trong 7 giờ.

 

Giải pháp là gì? Tôi thực sự không biết, nhưng chúng ta cần suy nghĩ nghiêm túc. Trừ khi bạn sẵn sàng sử dụng mật khẩu 15-16 ký tự/biểu tượng ngẫu nhiên, mật khẩu của bạn sẽ chỉ để bảo vệ chống lại những người trung thực.

 

Cập nhật: Theo kết quả trang này, 4 x HD 5970 card (8 x GPU) có khả năng giải mã 33 tỉ mật khẩu/giây, nghĩa là giảm thời gian tấn công xuống 10 lần so với HD 5770 ở trên.

 

 

Thank for your comments

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s