Una presentación en la Conferencia de contraseñas ^ 12 en Oslo, Noruega, se ha movido los postes, de nuevo.
En
declaraciones el lunes, investigador Jeremi Gosney (alias epixoip)
demostraron una plataforma que aprovechó el lenguaje abierto Computing
(OpenCL) marco y una tecnología conocida como OpenCL virtual (VCL) para
ejecutar el programa de formación de grietas en HashCat contraseña a
través de un grupo de cinco, servidores 4U equipado con 25 GPUs AMD Radeon y comunicar a las 10 Gbps sobre Infiniband tejido conmutado.Gosney sistema de obtención ilegal de contraseña eleva a un nivel superior, y efectivamente hace que incluso los más fuertes contraseñas protegidas con algoritmos de cifrado más débiles, como LM y NTLM de Microsoft y obsoletas.En una prueba, el sistema del investigador fue capaz de batir a través de 348 mil millones de NTLM hashes de contraseñas por segundo. Eso hace que incluso la contraseña más segura vulnerable a la fuerza bruta de cálculo intensivo y lista de palabras (o diccionario) ataques. Un personaje 14 Windows XP contraseña usando un algoritmo hash LM, por ejemplo, sería caer en tan sólo seis minutos, dijo Per Thorsheim, organizador de las contraseñas ^ 12 Conferencia
Nota de aclaración por parte de Jeremi: "LM es lo que se utiliza en Windows XP, y LM convierte todos los caracteres en minúsculas a mayúsculas, se encuentra en la mayoría de los 14 caracteres de largo, y se divide en dos la contraseña de 7 cuerdas carbón antes de hashing - por lo que sólo tiene que grieta 69 ^ 7 combinaciones de más de LM. A 20 G / s se puede obtener a través de que en unos 6 minutos. NTLM Con 348 mil millones por segundo, esto significa que podríamos extraer a través de cualquier contraseña de 8 caracteres (95 ^ 8 combinaciones) en 5,5 horas. " ]
"Las contraseñas en Windows XP? No es suficiente ya ", dijo Thorsheim.
Herramientas como grupo GPU Gosney no son adecuados para un escenario de "en línea" ataque contra un sistema en vivo. Más bien, están acostumbrados a "fuera de línea" ataques contra las colecciones de contraseñas filtrados o robados que estaban almacenados en forma cifrada, Thorsheim dijo. En esa situación, los atacantes no se limitan a un número determinado de intentos de contraseña - hardware y las limitaciones de software son todo lo que importa.
(Diapositivas disponible aquí - PDF)
La GPU en clúster registró velocidades impresionantes contra más robustos algoritmos de hash, así, como MD5 (180 mil millones de intentos por segundo, 63 mil millones / segundo para SHA1 y 20 billones de segunda / contraseñas hash mediante el algoritmo LM. Los llamados "lentos" algoritmos de hash ido mejor. El bcrypt (05) y permite sha512crypt 71.000 y 364.000 por segundo, respectivamente.Publicado puntos de referencia contra algoritmos hash más comunes gracias a los 25 GPU HPC grupoEn un chat IRC con el Seguro Ledger, Gosney dijo que ha estado trabajando en la agrupación CPU durante unos cinco años y la agrupación GPU en los últimos cuatro años."Entonces nos empezó a tratar de construir las mayores plataformas GPU que pudimos, embalaje como muchos GPUs en un solo servidor como sea posible para que no íbamos a tener que lidiar con la agrupación o la distribución de la carga", escribió Gosney ..
No hay comentarios:
Publicar un comentario