Специалист по информационной безопасности Сэм Кроули опубликовал в Твиттере результаты тестов, которые показывают возможности видеокарты Nvidia RTX 4090. Правда, исследовал он не графические возможности, а способность взламывать пароли. Флагманская видеокарта уверенно побила рекорды предыдущего лидера, RTX 3090, удвоив результаты для большинства тестируемых алгоритмов. Она эффективна, даже если сталкивается с протоколом аутентификации Microsoft New Technology LAN Manager (NTLM) и Bcrypt.
Вероятно, это результат того, что Nvidia вкладывает значительные средства в разработку графических чипов, стремясь повысить производительность центров обработки данных.
Взломанные пароли соответствовали актуальным методам безопасности и состояли из букв в случайном регистре, символов и цифр. По сути, это означает, что любой геймер с RTX 4090 может взломать средний пароль за считанные дни — и это при условии, что вы будете следовать правильной практике установки пароля (а большинство из нас определённо этого не делает).
Тесты проводились с помощью HashCat V.6.2.6. Этот инструмент известен в ИБ-среде и предназначен для системных администраторов и специалистов по кибербезопасности (кстати, Кроули был одним из разработчиков этого ПО). HashCat позволяет исследователям проверять или подбирать пароли пользователей в тех случаях, когда это требуется.
RTX 4090 блистал в нескольких типах атак, предусмотренных в программном обеспечении HashCat: атаки по словарю, комбинаторные атаки, атаки по маске, атаки на основе правил и брутфорс-атаки.
Исследователи подсчитали, что специально созданная установка для хеширования паролей (сопряженная с восемью графическими процессорами RTX 4090) может взломать восьмизначный пароль за 48 минут. Согласно Statista и данным за 2017 год, 8-символьные пароли являются наиболее распространёнными среди утёкших паролей, их доля составляет 32%. Это не означает, что они наименее безопасны, но это самая распространённая длина символа пароля. И теперь их можно вычислить менее чем за час с помощью «специализированной» хеш-машины.
Ещё один интересный момент, на который стоит обратить внимание: взлом пароля связан с затратами. Инвестировать в RTX 4090 за 1600 долларов может не каждый, и каждая попытка взлома пароля также потребует затрат на электроэнергию. Так что дело не только в желании, но и в возможностях. RTX 4090 снижает стоимость фактического взлома пароля, но это происходит каждый раз, когда появляются более мощные графические процессоры, а алгоритмы безопасности остаются относительно статичными. У Сэма Кроули есть интересный аналитический пост, в котором подробно описаны реальные соотношения $/хеш.
Хотя результаты тестов могут показаться угрожающими, важно отметить, что подход может иметь только ограниченный набор реальных вариантов использования. Не каждый владелец RTX 4090 будет использовать свою топовую видеокарту для взлома паролей. Кроме того, взлом паролей с инструментами типа HashCat обычно пригоден для офлайн-активов, а не для онлайн-ресурсов. Так что шансы на то, что ваш компьютер станет целью ненормального владельца RTX 4090, взламывающего пароли, невелики.
Комментаторы в блоге Кроули нашли ещё один вариант использования RTX 4090, которое никак не относится к инфобезу.