Dette monsteret finner passordet ditt
Går gjennom 350 milliarder kombinasjoner – i sekundet.
Diskusjonen om hvorvidt passord er sikre nok vil ingen ende ta, og her er et nytt kapittel i fortellingen. På en konferanse i Oslo nylig, presenterte Jeremi Gosney fra sikkerhetsselskapet Stricture Consulting Group en rapport og en demonstrasjon av et nytt oppsett som er i stand til å finne ut passord svært raskt.
Din passordbeskyttede Windows-arbeidsstasjon er med andre ord fortellingens «David» mot en real «Goliat» av en maskin: Gosney viste en serverklynge på 25 GPU-er som, via Linux og frie passordknekkerprogrammer, er i stand til å gjette 350 milliarder passord i sekundet.
Hakkemat
I løpet av under seks timer vil klyngen ha gått gjennom 6,6 billiarder kombinasjoner. Det er nok til å ha sjekket hvert eneste passord på åtte tegn, inkludert store og små bokstaver, tall og symboler.
Dette får Microsofts NTLM-algoritme, som har vært i bruk siden Windows Server 2003, til å skjelve i buksene. Serveren, med sine 25 AMD Radeon-grafikkort, vil med andre ord lage hakkemat av Windows-baserte arbeidsmiljøer – så lenge passordene er korte nok, vel å merke.
Lengre passord
Om du bare legger til ett ekstra tegn (ni tegn totalt), vil det plutselig ta opptil 500 timer å finne riktig kombinasjon. Med ti tegn stiger dette dramatisk til nesten 5,5 år.
Mange bedrifter og flere tjenester har likevel bare et minstekrav om åtte tegn, og derfor kan den passordspisende maskinen i teorien gjøre mye skade i feil hender, slik det ligger an i dag.
Forrykende tempo
Kodeknekkeren er heller ikke begrenset til å hamre løs på Windows-passord, og kan også slå seg løs med 44 andre algoritmer i forrykende tempo.
For SHA1 klarer den 63 milliarder gjetninger i sekundet, og for MD5 takler den 180 milliarder per sekund. Maskinen sliter derimot litt mer mot barske krypteringstyper som SHA512crypt. Her får den til «bare» 364 000 gjetninger i sekundet.
Sjekk ut Jeremi Gosneys rapport «Password Cracking HPC» her (PDF).
(Kilde: The Security Ledger)
