Tek.no

Nyhet

Dette monsteret finner passordet ditt

Går gjennom 350 milliarder kombinasjoner – i sekundet.

Jeremi Gosney / Stricture Consulting Group
11 Des 2012 13:06
annonse

Diskusjonen om hvorvidt passord er sikre nok vil ingen ende ta, og her er et nytt kapittel i fortellingen. På en konferanse i Oslo nylig, presenterte Jeremi Gosney fra sikkerhetsselskapet Stricture Consulting Group en rapport og en demonstrasjon av et nytt oppsett som er i stand til å finne ut passord svært raskt.

Din passordbeskyttede Windows-arbeidsstasjon er med andre ord fortellingens «David» mot en real «Goliat» av en maskin: Gosney viste en serverklynge på 25 GPU-er som, via Linux og frie passordknekkerprogrammer, er i stand til å gjette 350 milliarder passord i sekundet.

Hakkemat

I løpet av under seks timer vil klyngen ha gått gjennom 6,6 billiarder kombinasjoner. Det er nok til å ha sjekket hvert eneste passord på åtte tegn, inkludert store og små bokstaver, tall og symboler.

Dette får Microsofts NTLM-algoritme, som har vært i bruk siden Windows Server 2003, til å skjelve i buksene. Serveren, med sine 25 AMD Radeon-grafikkort, vil med andre ord lage hakkemat av Windows-baserte arbeidsmiljøer – så lenge passordene er korte nok, vel å merke.

Lengre passord

Om du bare legger til ett ekstra tegn (ni tegn totalt), vil det plutselig ta opptil 500 timer å finne riktig kombinasjon. Med ti tegn stiger dette dramatisk til nesten 5,5 år.

annonse

Mange bedrifter og flere tjenester har likevel bare et minstekrav om åtte tegn, og derfor kan den passordspisende maskinen i teorien gjøre mye skade i feil hender, slik det ligger an i dag.

Forrykende tempo

Kodeknekkeren er heller ikke begrenset til å hamre løs på Windows-passord, og kan også slå seg løs med 44 andre algoritmer i forrykende tempo.

For SHA1 klarer den 63 milliarder gjetninger i sekundet, og for MD5 takler den 180 milliarder per sekund. Maskinen sliter derimot litt mer mot barske krypteringstyper som SHA512crypt. Her får den til «bare» 364 000 gjetninger i sekundet.

Sjekk ut Jeremi Gosneys rapport «Password Cracking HPC» her (PDF).

annonse

(Kilde: The Security Ledger)

Les også
Hvilken musepeker er min?
Les også
Nytt verktøy knekker sikkerheten din som en lek
Les også
Kontodetaljer for 1 600 000 personer er på avveie
Les også
– Passordets æra er over
Les også
De 25 mest brukte passordene i 2012
Les også
Slik skal nettjenester se om du er et menneske
Les også
Her finner du koden til bankkortet ditt
annonse

Les også