テキサス州オースティンにあるパスワードツールHashcat(現在バージョン6.2.6)のコア開発者でセキュリティアナリストのSam Croley氏は最近、パスワードクラッキングのベンチマークツールで、新しいNVIDIA GeForce RTX 4090 GPUが誰かの秘密のパスワードを発見する際にどの程度の性能になるかテストし、先代のGPU RTX 3090の2倍以上というパフォーマンスを受け取ることができました。
NVIDIA RTX 4090 GPU8枚で、パスワードハッキングを60分以内に改善、RTX 3090の2倍高速化
ユーザー「ninja the hacker」がCroley氏に、8文字のパスワードを「ブルートフォース」するのにかかる時間を尋ねたところ、驚くべき結果が出ました。
TwitterでのCrowleyの言葉です:
https://twitter.com/Chick3nman512/status/1580725756430204928?ref_src=twsrc%5Etfw
つまり、数字、大文字、小文字、記号を組み合わせた8文字の標準的なパスワードの場合、NVIDIA RTX 4090 GPUを1つだけ使った場合の推定時間は6.1時間で、ましてや同じモデルを複数組み合わせてパスワードクラッキングを行うことは不可能です。
さらにクレイジーなのは、MicrosoftのNTLM(New Technology LAN Manager)や、1999年にNiels ProvosとDavid Mazièresが作成したBcryptパスワードハッシュ関数などの認証プロトコルに対抗できる点です。
この数字は信じられないものですが、誰かが他のユーザーや企業などのハッキングを支援するために悪用されることを考えると、恐ろしいことでもあります。
また、そのような高速なハッキングを行うためのコストも、なかなか飲み込めないものです。
NVIDIA RTX 4090は1台1,600ドル(税込み推定)で販売されており、その速度で動作するリグは12,800ドル以上かかるでしょう。
もう一つの側面は、Hashcatがオフラインのパスワードハッキングツールであることです。
サーバーやシステム管理者、そしてサイバーセキュリティの専門家に最適です。この実現は、インターネット上ではまだ安全だということではありません。
Googleはいくつかのサイバーセキュリティ対策を、Apple、Microsoftなどはソフトウェアセキュリティパッケージと同様に、強固で破られにくいパスワードを作成するために実施しています。
残念ながら、私たちは複数のウェブサイトやデバイスで1つのパスワードを使い回す方が簡単な社会に生きており、いつしか攻撃の対象になる可能性が出てきています。
また、量子コンピューティングの先駆けとして過去数年間に開発されたより強力なシステムは、天文学的なレベルで徐々に攻撃される可能性が出てきています。このため、これらの開発チームは、将来のコンピューティングのために、さらに厳しい対策を検討することになるでしょう。
過去5年間、同じパスワードを使い続けていませんか?新しいパスワードに更新する時期かもしれません。また、パスワード生成・保存ツールを使って、ウェブ上やその他の情報を追跡することも検討してみてください。
ソース:wccftech – Multiple NVIDIA GeForce RTX 4090 GPUs Can Hack Passwords In Under An Hour
解説:
RTX4090はオフラインのパスワードを1時間以内に突破可能。
ちなみにパスワードクラッキングのベンチマークツールでの測定結果らしいです。
まず、そんなものがこの世に存在していることに驚きです。
イメージ的にはZipとかRARなどのパスワードなんですかね。
Officeのファイルにもパスワードはありますね。
パスワードの文字数は8文字の場合だそうです。
正直、WindowsなどのOSパスワードは9文字以上の文字列を使っている人と言うのはそんなに多くないと思いますので、PCに入っているデータを抜き出すのに使われる時間と言ってもよいのではないかと思います。
私はレジストリに書き込んで一時間に10回パスワードの認証に失敗したら一時間ロックされる設定にしていますが、そんな細かい設定をしている人は極めてまれでしょう。
過去にバグでユーザー認証に失敗しまくるサービスなどもあったので、こういった設定は突然PCがロックされるなどのトラブルを生む可能性も0ではありません。
Windowsユーザーはエラーログに無頓着な人が多いので、裏でエラーログが出まくっているのに平気で使っている・・・などと言うことも結構あります。
WindowsPEなどでアクセスしたときにこの設定(1時間に10回)が生きているのかどうかも不明です。
認証情報の制限設定などは外部からアクセスしてきても内部の設定を参照できるようにするのが常識だと思いますが、意外とそう言う設定になってないことも多いです。
よって、ツール類を自作できるハッカーにとって、Windowsの認証情報にオフラインでアクセスできる場合、8文字以下のパスワードのPCの情報は1時間以内に解除できる可能性があるということになります。(そう言うツールは既にあるのかもしれませんが。)
もちろんですが、あのバカっ高いRTX4090が8枚も必要らしいので、出来る人は限られると思います。
企業などでは気を付けておいた方が良い話でしょうね。