Güvenlik araştırmacısı Sam Croley, heyecan Nvidia’nın yeni RTX 4090’ının şifre kırma konusunda gerçekten ne kadar inanılmaz olduğunu paylaşmak için. Microsoft’un Yeni Teknoloji LAN Yöneticisi ile karşı karşıya kalsa bile parolalarınızdan birini kırma konusunda önceki lider RTX 3090’dan iki kat daha hızlı olduğu ortaya çıktı (NTLM) kimlik doğrulama protokolü ve şifre şifre kırma işlevi.
Esasen, bu, RTX 4090’ı kullanan herhangi bir zengin oyuncunun birkaç gün içinde ortalama bir şifreyi kırabileceği anlamına gelir – ve bu, iyi şifre belirleme uygulamalarını izlerseniz (ve çoğumuz kesinlikle yapmıyoruz).
Kıyaslama, HashCat V.6.2.6., sistem yöneticilerinin ve siber güvenlik uzmanlarının (bu arada Croley’nin çekirdek programcı olduğu) ellerinde bulunan tanınmış bir şifre kırma aracıdır. Araştırmacıların, gerektirebilecek birkaç durumda kullanıcı şifrelerini test etmelerine veya tahmin etmelerine olanak tanır.
Ne yazık ki bu, siber suçluların da yapabileceği anlamına geliyor. Grafik kullanıcı arabirimlerindeki (GUI’ler) evrim ve bu programların yüksek performanslı grafik kartına sahip modern bilgisayarlarda kullanım kolaylığı ile bu araçları dağıtmak her zamankinden daha kolay hale geldi.
Yeni @nvidia RTX 4090’da ilk @hashcat testleri! Neredeyse her algoritma için 3090’a göre çılgınca >2 kat artışla geliyor. Kayıtları kolayca ayarlayabilir: OC ile 300GH/s NTLM ve 200kh/s bcrypt! Koşu için blazer’a teşekkürler. Tam karşılaştırmalar burada: https://t.co/Bftucib7P9 pic.twitter.com/KHV5yCUkV414 Ekim 2022
Testlerde, RTX 4090, neredeyse iki katına çıkmış performansla hemen hemen her algoritmada RTX 3090’ı geride bırakıyor – bu, RTX 4090’ın grafik performansında gördüğümüzden daha yüksek bir performans iyileştirmesini temsil etse bile, o kadar da şaşırtıcı değil. Bu muhtemelen Nvidia’nın veri merkezi tarafındaki performansını artırmak için grafik yonga tasarımı geliştirmesine hala çok yatırım yapmasının sonucudur. RTX 4090, HashCat yazılımında sağlanan çeşitli saldırı türlerinde kendini gösterdi: sözlük saldırıları, birleştirici saldırılar, maske saldırıları, kural tabanlı saldırılar ve kaba kuvvet saldırıları.
Araştırmacılar, amaca yönelik bir parola karma donanımının (sekiz RTX 4090 GPU’yu eşleştirerek) sekiz karakterlik bir parolayı 48 dakikada kırabileceğini tahmin ediyor. Statista’ya ve 2017 verilerine göre, 8 karakterli şifreler, sızdırılan şifreler arasında en yaygın olanı ve %32’lik bir paya sahip. Bu onların en az güvenli oldukları anlamına gelmez; bu, büyük olasılıkla en yaygın şifre karakter uzunluğu olduğu anlamına gelir. Ve artık “uzman” bir hashing teçhizatı tarafından bir saatten kısa sürede çıkarılabilirler.
Tabii ki, bu, parolanın en az sekiz karakter uzunluğunda olduğunu ve gerekli kurallara (en az bir sayı ve özel bir karakter dahil) uyduğunu varsayar. Ancak HashCat en sık kullanılan şifreleri test etmek için çalıştırıldığında, 200 milyar olası kombinasyonun tümünü milisaniye aralığına kadar deneyen 48 dakikalık teorik bir kırma işlemi getirebilir. Ancak o zaman bu beklenirdi: Bir insan bile “123456” gibi bir şifreyi kırmada son derece hızlı olurdu – görünüşe göre 2021’in en yaygın şifresi (yeni sekmede açılır).
Unutulmaması gereken bir diğer ilginç unsur ise, şifre kırmanın doğal olarak bir maliyetinin olmasıdır; 1.600$’lık bir RTX 4090’a yatırım yapmak maliyetlidir ve bir parola kırmaya yönelik her girişim aynı zamanda güç maliyetlerine de neden olacaktır. Yani bu sadece bir irade meselesi değil. RTX 4090’ın yaptığı şey, parolaları gerçekten kırmanın maliyetini düşürmektir – güvenlik algoritmaları nispeten statik kalırken daha güçlü GPU’lar ortaya çıktığı sürece olan bir şey. Jacob Egner blog yazısında son derece ayrıntılı ve ilginç bir analizi var $/hash oranlarıyla ilgili keşiflerini detaylandırıyor.
Tabii ki, siber güvenliğin omzundaki bir diğer çip, kuantum hesaplamanın amansız gelişimine karşı şifrelenmesi gereken veri miktarıdır – şu anda kullanılan neredeyse tüm şifreleme şemalarını yaya hale getirecek bilgisayarlar. Sadece GPU’larla parola kırmanın maliyetindeki düşüşlere bakıldığında, mevcut güvenliğin bir an önce daha yeni, kuantum sonrası algoritmalara yükseltilmesi gerektiği görülüyor.
Rahatlayın — her RTX 4090 sahibi, en üst seviye grafik kartlarını şifre kırma eğlencesine çevirmez. Ek olarak, HashCat gibi araçların parola kırma kolaylığı, genellikle çevrimiçi varlıklara değil, çevrimdışı varlıklara karşı kullanılır. Bu, bilgisayarınızın dengesiz bir RTX 4090 sahibine ait şifreleri istediği zaman kırma hedefi olma ihtimalinin çok düşük olduğu anlamına gelir – o kadar incedir ki, neredeyse hiç yoktur.
Yine de, bunun ışığında, belki de en iyi şifre yöneticilerinden birinde daha uzun şifreleri depolamakla başlayarak en iyi çevrimiçi güvenlik uygulamalarını tazelemek iyi bir fikir olabilir.