Нове дослідження компанії Hive Systems показало, що потужні відеокарти можуть бути використані не тільки для ігор і машинного навчання, а й для злому паролів.
Відеокарти останнього покоління, такі як GeForce RTX 4090 від Nvidia, забезпечують неймовірну продуктивність в іграх. Однак їхні потужні обчислювальні можливості можуть бути використані не тільки для розваг. Як показало нещодавнє дослідження компанії Hive Systems, що спеціалізується на кібербезпеці, подібні відеокарти здатні досить швидко зламувати паролі за допомогою хешування.
Як пояснює видання Tom's Hardware, на відміну від використання штучного інтелекту для підбору паролів, хешування передбачає перетворення пароля в унікальну комбінацію символів - хеш. Сервери зберігають паролі саме в такому зашифрованому вигляді. Навіть якщо зловмисники отримають доступ до бази хешів, вони не зможуть дізнатися реальні паролі.
Щоб усе ж таки їх зламати, хакери перебирають різні варіанти паролів, генерують із них хеші та порівнюють із вкраденими хешами з бази даних. Коли хеші збігаються - пароль знайдено. Цей метод називається Brute Force атакою (атака грубою силою). Хоча такий підбір можна здійснити і на звичайному ПК, використання потужних відеокарт на кшталт RTX 4090 або серверних GPU A100 від Nvidia значно прискорює цей процес.
Для оцінки продуктивності різних GPU в контексті злому паролів, Hive Systems використовувала популярне ПЗ Hashcat. На відміну від попередніх тестів Hive Systems, заснованих на застарілому алгоритмі хешування MD5, цього разу також тестувався більш сучасний і стійкий алгоритм Bcrypt. Для тесту використовували складні паролі завдовжки 8 символів, що містять малі та великі літери, цифри та спеціальні символи.
Виявилося, що при зломі хешів MD5, GeForce RTX 4090 впоралася за 59 хвилин. Вісім відеокарт A100 скоротили цей час до 20 хвилин. Гіпотетично, у системи типу ChatGPT, що має доступ до десятків тисяч A100, вистачило б потужностей виконати повний перебір лише за кілька секунд.
Однак сучасний алгоритм Bcrypt значно ускладнив завдання злому. Для RTX 4090 час зріс до 99 років! Навіть вісім A100 потребували б 17 років. Практично, лише масивне розпаралелювання на сотнях тисяч GPU могло б забезпечити прийнятний час злому в кілька місяців.
Однак приводів для паніки немає. По-перше, зловмисникам потрібен доступ до бази хешів, що можливо лише в разі серйозних витоків персональних даних. По-друге, при правильному налаштуванні систем безпеки, злом одного тільки пароля не принесе користі, оскільки необхідно ще обійти багатофакторну аутентифікацію користувача. Проте, дослідження Hive Systems ще раз демонструє зростаючі можливості GPU в контексті злому паролів.