logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Układy GPU łamią hasła niepokojąco szybko

exti 06 Cze 2011 15:46 4188 12
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz Fajne? Ranking DIY | Nowy temat
Powiadamiaj o nowych artykułach
  • Układy GPU łamią hasła niepokojąco szybkoBadanie, które przeprowadził Vijay Devakumar pokazuje, że nowoczesne karty graficzne czynią nawet skomplikowane hasła bezużytecznymi. Narzędzia, takie jak IGHASHGPU pozwalają radykalnie skrócić czas potrzebny na złamanie hasła zapisanego w hashu NTLM. Przy użyciu układu ze średniej półki, takiego jak Radeon HD 5770 na złamanie bardzo trudnego 9-literowego hasła potrzeba nie 43 lat, a 48 dni. Losowe pięcioliterowe, alfanumeryczne hasła można pokonać już w 24 sekundy.

    Bardziej zaawansowane GPU w stylu Radeona HD 6970 są w stanie tego dokonać jeszcze szybciej, a sytuację pogorszy (z punktu widzenia zabezpieczających, nie łamiących) nadejście tańszych kart i układów grafiki do laptopów dostatecznie szybkich, aby osiągać podobne wyniki. Obecnie mobilne układy z wyższej półki mają wydajność taką samą lub nieco większą niż "biurkowe" 5770 użyte w teście.

    To przyspieszenie wynika z natury nowoczesnych chipsetów graficznych. Większość z kart AMD i NVIDIA bazuje na wielordzeniowych procesorach zdolnych obsługiwać także zadania spoza typowej działki GPU, takie jak deszyfrowanie i kodowanie wideo.

    W takiej sytuacji być może na znaczeniu zyskają sprzętowe i biometryczne metody uwierzytelniania.

    Źródło:
    http://www.electronista.com/articles/11/06/05/gpu.acceleration.makes.tough.passwords.easy.cracks/

    Fajne? Ranking DIY
    O autorze
    exti
    Poziom 32  
    Offline 
    exti napisał 2419 postów o ocenie 171, pomógł 10 razy. Mieszka w mieście Wrocław. Jest z nami od 2008 roku.
  • REKLAMA
  • #2 9583307
    Konto nie istnieje
    Konto nie istnieje  
  • #3 9584870
    Tomkiewicz
    Poziom 13  
    Posty: 110
    Ocena: 59
    Solenie niewiele da, bo tutaj jest mowa o łamaniu pojedynczego hasła.

    Jedynym problemem jest to, że wspomniane narzędzie nie ma otwartego kodu i można rozwiązywać tylko hashe z określonym "rodzajem soli", tzn takim jaki zaimplementuje autor. Na stronie wspomniał o md5(md5(pass) + salt) oraz md5(md5(salt) + md5(pass)), czyli już z md5(salt + md5(pass)) będzie pewnie problem.

    Ale zawsze można to sobie samemu naklepać :].
  • REKLAMA
  • #4 9585503
    flubber.trip
    Poziom 27  
    Posty: 1193
    Pomógł: 82
    Ocena: 71
    Faktycznie zagrożenie jest realne. Niedawno na "TORowisku" był temat, gdzie zainteresowany podał hash w md5 z prośbą o złamanie go, odpowiedź wraz z hasłem dostał już po 2 dniach.
  • REKLAMA
  • #5 9585776
    Konto nie istnieje
    Konto nie istnieje  
  • #6 9585876
    Tomkiewicz
    Poziom 13  
    Posty: 110
    Ocena: 59
    Ekhm...

    Sól tak nie działa. Nie zagłębiając się w szczegóły - mając hash, mamy też sól.

    Wypadało by też nie mylić szyfrowania z hashowaniem (uwaga o AES).

    Z kolei jedyną szansą SHA-2 jest to, że (być może, nie szukałem dokładnych informacji) nie da się tak szybko generować hashy. Ale wciąż, aby złamać 7 literowocyfrowe hasło w miesiąc, wystarczy sprawdzać 30k haseł na sekundę.
  • #7 9586168
    pidpawel
    Poziom 26  
    Posty: 1025
    Pomógł: 13
    Ocena: 18
    Przede wszystkim trzeba oświecić twórców aplikacji, że problem istnieje i muszą oni zacząć stosować inne metody autoryzacji i przechowywania danych dostępowych. Wiele osób wciąż korzysta z czystego, niesolonego md5. Wiele osób nie stosuje żadnych wymagań dotyczących treści hasła. Użytkownicy nie wiedzą które znaki specjalne mogą stosować (tak - wiele serwisów ogranicza charset dla hasła) więc odruchowo ich nie stosują, aby uniknąć problemu odrzucenia hasła. Wiele osób korzysta z tych samych haseł w wielu serwisach (podnosi to wagę pojedynczego i zachęca blackhatów do działania).
  • REKLAMA
  • #8 9587699
    adam1987
    Poziom 18  
    Posty: 312
    Pomógł: 3
    Ocena: 5
    Przede wszystkim trzeba chronić bazę danych, w której te hashe są trzymane. Co z tego, że aplikacja wykorzystuje hashe zamiast haseł plain-text, jeśli np. połączenie z serwerem bazy danych jest niezabezpieczone i można zafałszować wynik zapytania tak, żeby zawsze był pozytywny? Hashe tylko utrudniają łamanie haseł, ale nie zapobiegają temu. Jeśli baza, i połączenie z nią, są właściwie zabezpieczone, to można trzymać w plain-text i też będzie OK, chociaż lepiej dmuchać na zimne i używać hashy, jeśli to jest możliwe.
  • #9 9587716
    pidpawel
    Poziom 26  
    Posty: 1025
    Pomógł: 13
    Ocena: 18
    Haseł nie można trzymać w plaintekście. Z założenia hasła wyciekną więc muszą być chronione. Zgadzam się, że ochrona bazy jako takiej i wszelkich dróg komunikacji z nią jest ważna (można też ustawić wszystkim użytkownikom to samo hasło za pomocą odpowiedniego sql injection, nawiązując do przykładu z posta wyżej), ale ona nie da nam 100% pewności. W grę wchodzi zbyt dużo czynników żeby być pewnym, że żaden z nich nie zawiedzie w kluczowym momencie.
  • #10 9590974
    proprocek
    Poziom 16  
    Posty: 216
    Ocena: 3
    GPU świetnie nadaje się również do obliczeń macierzowych. Większość solverów MES ma już obsługę GPU - dzięki temu można robić symulacje w bardzo szybkim czasie. Przykład: tłoczenie wanny - Operacja wykonana na mocnym PC z CPU - czas obliczeń ok 2 - 3 dni. Dzięki mocnemu GPU - czas spadł do 4-6 godzin. Jeszcze trochę i takie obliczenia będzie można robić wręcz w czasie rzeczywistym. Wyobrażacie sobie jak bardzo pomoże to motoryzacji?
  • #11 9591937
    adam1987
    Poziom 18  
    Posty: 312
    Pomógł: 3
    Ocena: 5
    GPU nadają się wszędzie tam, gdzie problem można podzielić na bardzo wiele identycznych podproblemów które można rozwiązywać niezależnie od siebie. Tu nie ma znaczenia jakie to są operacje, bo współczesne GPU mogą wykonywać każde, tak jak CPU. W przypadku symulacji zawsze jest pewien kompromis między czasem obliczeń a dokładnością. A przy łamaniu hashy trzeba średnio wykonać określoną liczbę obliczeń i kompromis jest tylko po stronie specjalistów od zabezpieczeń - między kosztem a bezpieczeństwem.
  • #12 9598827
    Czebu
    Poziom 20  
    Posty: 495
    Pomógł: 19
    Ocena: 13
    Po co ten badacz upublicznia wyniki swoich badań? Lepiej jest upublicznić swoje uwagi co do rozwiązania tego problemu. A potem się dziwicie, że jest pełno komputerowych złodziei. Im więcej tego typu informacji będzie się pojawiać w Internecie, to tym więcej będzie takich szpiegów i złodziei.
  • #13 9601031
    pidpawel
    Poziom 26  
    Posty: 1025
    Pomógł: 13
    Ocena: 18
    A moim zdaniem lepiej upowszechniać taką wiedzę żeby przekonać ludzi jak duże niebezpieczeństwo się na nich czai zamiast zostawiać wszystko w rękach wyspecjalizowanych internetowych zamachowców.
Odpowiedz Fajne? Ranking DIY | Nowy temat
Powiadamiaj o nowych artykułach
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ Nowoczesne układy GPU, takie jak Radeon HD 5770 i HD 6970, wykazują zdolność do łamania haseł w rekordowo krótkim czasie, co stawia pod znakiem zapytania bezpieczeństwo tradycyjnych metod haszowania, takich jak NTLM. Narzędzia takie jak IGHASHGPU umożliwiają znaczne przyspieszenie procesu łamania haseł, co prowadzi do konieczności stosowania bardziej zaawansowanych metod zabezpieczeń, takich jak SHA-2 i AES. Użytkownicy często nie są świadomi zagrożeń związanych z używaniem prostych, niesolonych haseł, co zwiększa ryzyko ataków. W dyskusji podkreślono również znaczenie zabezpieczania baz danych oraz komunikacji z nimi, aby zminimalizować ryzyko wycieku haseł.
Wygenerowane przez model językowy.
Popularne dzisiaj
REKLAMA