Cụm máy tính với 25 GPU có thể tìm ra mọi mật khẩu trong chưa đầy 6 tiếng

    MT,  

    Bằng việc khai thác sức mạnh của 25 chiếc card đồ họa Radeon, cụm máy tính (computer cluster) của cracker Jeremi Gosney có thể dò tìm mọi mật khẩu 8 kí tự trong vòng 5,5 tiếng.

    Jeremi Gosney, nhà sáng lập và CEO của Stricture Consulting Group, một công ty chuyên xử lý việc bẻ mật khẩu, mới đây vừa giới thiệu 1 phương pháp có thể giúp tìm ra mọi mật khẩu với 8 kí tự (bao gồm các mật khẩu dùng chữ cái, số, kí tự) trong thời gian siêu ngắn. Gosney sử dụng 1 cụm máy tính (computer cluster) khai thác sức mạnh của 25 chiếc card đồ họa Radeon AMD với khả năng tính toán siêu việt có thể dò tìm tất cả các kết hợp kí tự có thể xảy ra (trong tấn công mạng gọi là phương pháp brute-force) đối với các mật khẩu có 8 kí tự, trong vòng chỉ 5,5 tiếng, trên các hệ thống sử dụng giao thức bảo mật NTLM - giao thức mà Microosft sử dụng trong Windows Server từ 2003 đến nay.

    Cụm máy tính với 25 GPU có thể tìm ra mọi mật khẩu trong chưa đầy 6 tiếng 1

    Theo Gosney, hệ thống server chạy Linux của họ sẽ chạy nền tảng Virtual OpenCL cho phép các card đồ họa thực hiện chức năng như thể chúng đang chạy trên 1 PC đơn nhất. ocl-Hashcat Plus, một tiện ích bẻ khóa mật khẩu miễn phí được tối ưu cho điện toán GPU, sẽ cho phép cỗ máy xử lý ít nhất 44 thuật toán khác nhau với tốc độ nhanh chưa từng có. Bên cạnh phương pháp dò tìm mật khẩu brute-force, tốc độ của cụm máy tính này còn có thể được sử dụng cho các kĩ thuật bẻ khóa mật khẩu khác như tấn công từ điển (dò tìm mật khẩu trong một danh sách các mật khẩu phổ biến được thiết lập sẵn ở dạng cuốn từ điển).

    "Những gì chúng ta làm được với cụm máy tính này cũng giống như với Hashcat mà thôi, nhưng với computer cluster thì tốc độ tính toán được tăng lên 1 cách đáng kể" - Jeremi Gosney cho biết. "Chúng tôi có thể thực hiện việc dò tìm mật khẩu với tốc độ nhanh hơn 4 lần so với trước đây".

    Jeremi Gosney trước đây từng giới thiệu 1 chiếc PC dùng 4 chiếc card đồ họa  AMD Radeon HD6990 có thể dò tìm 88 tỷ lượt kết hợp kí tự trong mỗi giây để phá phương thức bảo mật NTLM. Ông đã dùng chiếc PC này để phá mật khẩu của 90% trong số 6,5 triệu mật khẩu của người dùng mạng xã hội LinkedIn. Với cluster mới này, Gosney có thể thực hiện cùng 1 cuộc tấn công như thế nhưng thời gian đã được rút ngắn xuống còn 1/4. Cluster mới có thể dò tìm 63 tỷ lượt mật khẩu để khuất phục giao thức bảo mật SHA1 của LinkedIn, trong khi hệ thống cũ chỉ có thể dò tìm 15,5 tỷ lượt. Với giao thức bảo mật được sử dụng rộng rãi là MD5, cluster này có thể dò tìm 180 tỷ lượt, tức cũng cho tốc độ dò tìm nhanh hơn 4 lần so với phương pháp cũ. 

    Tuy nhiên, tốc độ dò tìm này chỉ áp dụng được cho các cuộc bẻ khóa ngoại tuyến. Kỹ thuật dò tìm này không áp dụng được cho các cuộc tấn công online vì nhiều lý do, và một trong số đó là việc hầu hết các website đều giới hạn số lần thử nhập mật khẩu. Thông thường, nhiều website chỉ cho phép người dùng thử nhập mật khẩu 3 đến 5 lần và nếu mật khẩu không đúng thì tài khoản sẽ bị tạm khóa. 

    Sự xuất hiện của điện toán GPU trong suốt thập kỉ trước đã giúp tăng tốc rất nhiều cho các cuộc bẻ khóa ngoại tuyến. Tuy nhiên cho tới nay thì các hạn chế từ bo mạch chủ, BIOS, trình điều khiển phần mềm khiến cho các cracker chỉ có thể dùng tối đa 8 card đồ họa trên 1 máy, dẫn tới tốc độ tính toán bị hạn chế khá nhiều. Kỉ lục mà Gosney vừa đạt được đó là nhờ cluster mới sử dụng nền tảng VCL (Virtual OpenCL) giúp tăng số card đồ họa có thể sử dụng mà với cluster ở trên là 25 chiếc card cùng được đưa vào để tính toán. 

    Cụm máy tính với 25 GPU có thể tìm ra mọi mật khẩu trong chưa đầy 6 tiếng 2


    Thành tích của Gosney đặt ra một yêu cầu cho các kĩ sư trong việc thiết kế hệ thống lưu trữ mật khẩu bảo mật hơn. Như thuật toán bảo mật SHA3 mới được công bố gần đây hay các thuật toán "nhanh" như Bcrypt, PBKDF2, và SHA512crypt, sẽ khiến cho tốc độ truy tìm của các cracker giảm đi trông thấy. Với các thuật toán bảo mật này, cụm cluster trên chỉ có thể thực hiện 71.000 lượt dò tìm để khuất phục Bcrypt, hay 364.000 để đánh bại được thuật toán SHA512crypt. 

    Với người dùng, bạn nên biết rằng phần lớn mật khẩu của bạn được "băm" bằng thuật toán "nhanh". Có nghĩa rằng mật khẩu của bạn nên được hình thành từ 9 kí tự trở lên. Các mật khẩu với 13 hoặc thậm chí là 20 kí tự sẽ đảm bảo độ an toàn lên cao hơn nữa. Bên cạnh đó, để tránh khỏi các cuộc tấn công từ điển đã nói ở trên, mật khẩu của bạn cũng nên tránh những cụm từ, từ ngữ phổ biến, nếu không, bạn sẽ rất dễ bị "bắt bài".

    Tham khảo: Arstechnica
    Tin cùng chuyên mục
    Xem theo ngày

    NỔI BẬT TRANG CHỦ