Nowe badania przeprowadzone przez Hive Systems wykazały, że wydajnych kart graficznych można używać nie tylko do grania i uczenia maszynowego, ale także do łamania haseł.
Karty graficzne najnowszej generacji, takie jak GeForce RTX 4090 firmy Nvidia, zapewniają niesamowitą wydajność w grach. Jednak ich potężne możliwości obliczeniowe można wykorzystać nie tylko do celów rozrywkowych. Jak wykazało niedawne badanie przeprowadzone przez firmę Hive Systems zajmującą się cyberbezpieczeństwem, takie karty graficzne są w stanie dość szybko łamać hasła za pomocą funkcji mieszania.
Jak wyjaśnia Tom’s Hardware, w przeciwieństwie do sztucznej inteligencji do odgadywania haseł, haszowanie polega na konwertowaniu hasła na unikalną kombinację znaków – skrót. Serwery przechowują hasła w tej zaszyfrowanej formie. Nawet jeśli atakujący uzyskają dostęp do bazy danych skrótów, nie będą w stanie poznać prawdziwych haseł.
Aby je złamać, hakerzy wypróbowują różne hasła, generują z nich skróty i porównują je z hashami skradzionymi z bazy danych. Gdy skróty się zgadzają, hasło zostaje znalezione. Ta metoda nazywa się atakiem Brute Force (atak brutalną siłą). Chociaż tego wyboru można dokonać na zwykłym komputerze PC, użycie wydajnych kart graficznych, takich jak serwerowe procesory graficzne RTX 4090 lub Nvidia A100, znacznie przyspiesza ten proces.
Aby ocenić wydajność różnych procesorów graficznych w kontekście łamania haseł, Hive Systems wykorzystał popularne oprogramowanie Hashcat. W odróżnieniu od poprzednich testów Hive Systems, które opierały się na przestarzałym algorytmie haszującym MD5, tym razem przetestowano także nowocześniejszy i solidniejszy algorytm Bcrypt. W teście wykorzystano złożone hasła o długości 8 znaków, zawierające małe i wielkie litery, cyfry oraz znaki specjalne.
Okazało się, że podczas łamania skrótów MD5 GeForce RTX 4090 zrobił to w 59 minut. Osiem kart graficznych A100 skróciło ten czas do 20 minut. Hipotetycznie system taki jak ChatGPT, z dostępem do dziesiątek tysięcy A100, byłby w stanie przeprowadzić pełne wyszukiwanie w ciągu zaledwie kilku sekund.
Jednak nowoczesny algorytm Bcrypt znacznie utrudnia włamanie. W przypadku RTX 4090 czas ten wzrósł do 99 lat! Nawet osiem A100 wymagałoby 17 lat. W praktyce jedynie masowa równoległość na setkach tysięcy procesorów graficznych może zapewnić akceptowalny czas pękania wynoszący kilka miesięcy.
Nie ma jednak powodu do paniki. Po pierwsze, atakujący potrzebują dostępu do bazy hash, co jest możliwe jedynie w przypadku poważnego wycieku danych osobowych. Po drugie, jeśli systemy bezpieczeństwa są odpowiednio skonfigurowane, samo złamanie hasła nie będzie przydatne, ponieważ konieczne jest również ominięcie wieloczynnikowego uwierzytelniania użytkownika. Jednak badanie Hive Systems dodatkowo pokazuje rosnące możliwości procesorów graficznych w kontekście łamania haseł.