Es ist ein guter Zeitpunkt, um Ihre Passwortsicherheitspraktiken einer Gesundheitsprüfung zu unterziehen. Während es interessant ist, darauf hinzuweisen, dass acht Nvidia RTX 4090-Karten die beliebteste Passwortlänge in weniger als einer Stunde knacken können, ist es wichtiger, sich bewusst zu sein, dass die Kosten für das Knacken von Passwörtern mit jeder neuen Generation gesunken sind.
Der Twitter-Nutzer Chick3nman ist wieder dabei und zeigt genau das: Er hat kürzlich die aktuelle beste Grafikkarte getestet und festgestellt, dass eine einzelne RTX 4090 eine Hashcat-Benchmark-Leistung liefert, die ungefähr achtmal höher ist als die Punktzahl, die von acht GTX 1080 erreicht wird. Das ist auch fast doppelt so schnell wie Nvidias RTX 3090 der vorherigen Generation.
Erste @hashcat-Benchmarks auf der neuen @nvidia RTX 4090! Kommt bei fast jedem Algorithmus zu einem wahnsinnigen > 2-fachen Anstieg gegenüber dem 3090. Leicht rekordverdächtig: 300GH/s NTLM und 200kh/s bcrypt mit OC! Danke an Blazer für den Lauf. Vollständige Benchmarks hier: https://t.co/Bftucib7P9 pic.twitter.com/KHV5yCUkV414. Oktober 2022
Hashcat ist eine spezialisierte Software zum Testen der kryptografischen Leistung von Grafikkarten – was sowohl Verschlüsselung als auch Entschlüsselung bedeuten kann. Und da Grafikkarten hochgradig parallele Engines sind, sind sie besonders für kryptografische Aufgaben geeignet, bei denen die Leistung mit Hashes pro Sekunde berechnet wird. Schließlich kam die GPU-Mining-Krise, die den größten Teil des Lebens der 30er-Serie dauerte, hierher: explosive Leistung pro Watt-Verbesserungen (mit einem Schub durch die Preisgestaltung von Ethereum).
Grafikkarten sind natürlich auch in der Lage, das richtige Passwort durch Ausprobieren aller möglichen Kombinationen zu finden, was als Brute-Force-Attacke bezeichnet wird. Es gibt 96^8 Möglichkeiten für ein 8-stelliges Passwort, und das muss die Grafikkarte versuchen zu brechen. Es ist eine unvorstellbar hohe Zahl, die im 16-stelligen Bereich liegt. Aber sie meistern es. Immerhin acht der neuen Karten können dieses 8-stellige Passwort in 48 Minuten knacken. Die Kosten sind nicht zu vernachlässigen, aber andererseits niedriger, als wir es uns wahrscheinlich vorgestellt haben.
Die Rechenleistung ist mit viel höheren Raten gestiegen als das reine Grafik-Rendering. Bei 4K, der anspruchsvollsten verfügbaren Auflösung, ist die RTX 2080 Ti rund 26 % schneller als die GTX 1080 Ti. Der Generationssprung machte die RTX 3090 33 % schneller als die RTX 2080 Ti, und die RTX 4090 steigert die Generationsleistung mit ihrer Steigerung um 33 % weiter.
Dies geschieht (teilweise), weil Nvidia ein Unternehmen für Grafikprozessoren ist, nicht nur ein Gaming-Unternehmen. Über Generationen hinweg hat Nvidia seine Grafikkarten immer mehr auf Rechenzentrums-Workloads zugeschnitten und Hardwarelösungen (wie Tensor Cores) entwickelt und hinzugefügt, um diese zu beschleunigen. Angesichts der Tatsache, dass Rechenzentrumshardware einen viel höheren ASP (Durchschnittsverkaufspreis) erzielt als Verbraucherprodukte wie Gaming-Grafikkarten, ist es kein Wunder, dass die Rechenleistung im gleichen Zeitraum stärker gewachsen ist als das Grafik-Rendering. So verbesserte sich die Grafikleistung bei Nvidias Top-Tier-GPUs über Generationen hinweg:
Grafikleistung erhöhen | |
RTX4090 | +39 % |
RTX3090 | +33 % |
RTX 2080 Ti | +26 % |
GTX 1080 Ti | Grundlinie |
Inzwischen ist die Hashcat-Leistung der RTX 4090 um 800 % höher als die der GTX 1080. Zugegeben, die getestete RTX 4090 wurde übertaktet, aber es gibt nur so viel zusätzliche Leistung, die Sie generieren können, ohne die Energieeffizienz zu beeinträchtigen.
Diese Steigerung der kryptografischen Rechenleistung ermöglicht eine Reduzierung der wie viel Geld ein Hacker ausgeben müsste, um ein Passwort zu knacken. Denken Sie daran, dass auch der Hacker in Grafikkarten investieren muss (deren Preise über Generationen nur gestiegen sind). Diese Person muss außerdem die Kosten für Strom und Arbeitsbelastung bewältigen, um dieses achtstellige Passwort zu knacken (übrigens betrug die weltweit am häufigsten verwendete Passwortlänge im Jahr 2017 genau acht Zeichen). (öffnet in neuem Tab)). Je niedriger die Kosten für das Hacken sind, desto attraktiver wird es, ein bestimmtes Passwort zu hacken. Und der RTX 4090 halbiert diese Kosten trotz seines UVP von 1.599 US-Dollar.
Interessanterweise hat Nvidia das Hashcat-Leistungsrennen sicher angeführt. Die RTX 4090 ist bei Workloads zwar fast doppelt so schnell wie die RTX 3090, aber dreimal schneller als die RX 6900 XT von AMD. Natürlich könnten sich die Dinge mit AMDs RDNA3-basierten Karten ändern (wir werden bis zum 3. November mehr wissen); Nvidia hat hier aber aktuell einen deutlichen Vorsprung.
Es ist wichtig zu erwähnen, dass Ihre Online-Passwörter oder Passwörter, die durch Zwei-Faktor-Authentifizierung geschützt sind, hier nicht diskutiert werden: Diese verfügen normalerweise über Mechanismen, die verhindern, dass Brute-Force-Angriffe funktionieren. Diese Art von Angriff richtet sich hauptsächlich auf das Knacken von Offline-Passwörtern, wobei bestimmte Szenarien es ermöglichen, diese Millionen von Versuchen sogar zu versuchen. Aber in bestimmten Szenarien, wie z. B. Datenlecks, könnten Passwörter offengelegt werden: entweder direkt sichtbar, als Klartext oder als verschlüsselter Hash. Diese codierten Hashes (das Garble, das aus dem Verschlüsselungsprozess resultiert) sind die verschlüsselten Daten, die die GPU dann zu Ihrem tatsächlichen Passwort zurückentwickeln muss.
Passwörter sind eines der notwendigen Übel einer technologischen Welt, das Einzige, was zwischen einem Hacker und dem digitalen Teil steht, den Sie auf der anderen Seite des Eingabefensters stehen. Aber wenn die Zeit vergeht und die Kosten für das Knacken eines Passworts zum Schutz der Privatsphäre sinken, ist es vielleicht ratsam, mit der Zeit zu gehen und unsere Sicherheitsmaßnahmen angemessen anzupassen. Ein guter Anfang wäre, einfach die Länge der Passwörter zu erhöhen, anstatt die Komplexität des Auswendiglernens zu erhöhen: Passphrasen aus Wortfolgen wie „Ihr Passwort sollte wirklich nicht entschlüsselt werden“, zusammen mit einigen Sonderzeichen und/oder die Verwendung eines der besten Passwort-Manager können die Antwort sein .