GPU chơi game đầu bảng của Nvidia có thể bẻ khóa mật khẩu phức tạp trong vòng chưa đầy một giờ

Các card đồ họa tốt nhất không chỉ tuyệt vời cho việc chơi game mà còn có thể giúp giải mã mật khẩu. Hive Systems, một nhà cung cấp giải pháp an ninh mạng, đã phát hành ấn bản năm 2024 của Bảng Mật khẩu Hive Systems và một số nghiên cứu bổ sung chi tiết về thời gian mà các card đồ họa Nvidia khác nhau cần để phá vỡ một mật khẩu.

Không giống như các nghiên cứu khác nơi các công ty sử dụng AI để phá mật khẩu, phương pháp của Hive Systems dựa trên băm (hashing). Băm bao gồm việc xáo trộn mật khẩu thành một tổ hợp ký tự và số bí ẩn. Các máy chủ lưu trữ mật khẩu dưới dạng băm, vì vậy ngay cả khi một hacker đánh cắp cơ sở dữ liệu, họ chỉ thấy các băm chứ không phải mật khẩu thực tế. Các hacker thử nghiệm với các tổ hợp ký tự khác nhau, băm chúng và so sánh với cơ sở dữ liệu mật khẩu bị đánh cắp để tìm kiếm các trùng khớp.

Một máy tính là đủ để thực hiện băm, nhưng các card đồ họa, chẳng hạn như GeForce RTX 4090 hoặc A100 của Nvidia, có thể tăng tốc độ quá trình đáng kể. Hive Systems đã sử dụng Hashcat, một phần mềm băm, để đánh giá thời gian cần thiết để phá vỡ các mật khẩu khác nhau. Không giống như các phiên bản nghiên cứu trước đây tập trung vào băm MD5, Hive System đã bao gồm kết quả với bcrypt, là một thuật toán băm mật khẩu phức tạp hơn để phá vỡ so với MD5.

Trong vòng đầu tiên của các băm mật khẩu MD5, Hive Systems đã sử dụng một mật khẩu mẫu với tám ký tự, tuân theo các hướng dẫn mật khẩu của NIST. Chúng ta sẽ tập trung vào các mật khẩu phức tạp hơn với chữ hoa, chữ thường, ký tự đặc biệt và số. Các thời gian là các kịch bản tốt nhất vì mật khẩu không được tạo ngẫu nhiên thì nhanh hơn để phá vỡ.

Một GeForce RTX 4090, card đồ họa hàng đầu hiện tại của Nvidia cho game, có thể phá vỡ mật khẩu trong chưa đầy một giờ. Trong khi đó, tám A100 có thể đạt được thành tích tương tự trong chưa đầy 20 phút. Một thứ gì đó như ChatGPT, có quyền truy cập vào hàng chục nghìn bộ tăng tốc A100, có thể phá vỡ mật khẩu trong một giây.

Với bcrypt, thời gian băm đã tăng vọt. Trong khi GeForce RTX 4090 chỉ mất 59 phút để phá vỡ một băm MD5, cùng một card đồ họa sẽ cần 99 năm. Thời gian tăng từ 20 phút lên 17 năm, ngay cả trên tám bộ tăng tốc A100. Cách duy nhất hợp lý là đi theo hướng ChatGPT, nhưng điều đó có nghĩa là bạn phải có rất nhiều tiền để thuê các cụm card đồ họa AI thực hiện hành vi xấu xa của mình.

Mặc dù có vẻ đáng sợ, nhưng chưa cần phải hoảng sợ ngay lúc này. Đầu tiên, nghiên cứu của Hive Systems giả định rằng hacker có quyền truy cập vào băm, ví dụ, từ các vụ vi phạm dữ liệu lớn, như HaveIBeenPwned hoặc LastPass. Tuy nhiên, điều đó không phải lúc nào cũng xảy ra. Nghiên cứu cũng cho rằng xác thực đa yếu tố (MFA) không được kích hoạt hoặc đã bị vượt qua trong cuộc tấn công. Trong thời đại này, bạn nên sử dụng MFA cho tất cả những thứ nhạy cảm với dữ liệu của mình. Mặc dù MFA không phải là không thể bị phá vỡ bởi kẻ tấn công cũng có thể thực hiện một cuộc tấn công lừa đảo đối với nạn nhân, nhưng nó thêm một lớp bảo vệ thứ hai.

MD5 đã hơn 30 năm tuổi, và nhiều công ty đã chuyển sang các thuật toán băm mạnh mẽ hơn, như bcrypt hoặc pbkdf2. Vì vậy, không chỉ có mật khẩu mạnh mới quan trọng; an ninh cũng phụ thuộc vào phía bên kia. Ngay cả một mật khẩu tám ký tự tuân thủ NIST cũng có thể khó bị phá nếu nhà cung cấp dịch vụ duy trì các thực hành bảo mật tốt và cập nhật với các thuật toán băm mới nhất.