TecnoBlog

Intervenendo alla conferenza Passwords^12, il ricercatore Jeremi Gosney ha mostrato al pubblico intervenuto che tipo di attrezzatura occorre per il cracking di password e hash delle suddette. L’hardware presentato da Gosney è di tipo GPGPU, usa 25 schede acceleratici marchiate AMD e può ingoiare miliardi di parole chiave nel giro di qualche minuto. Gosney, già noto alle cronache per l’affaire delle password di LinkedIn, ha mostrato quattro rack 4U equipaggiati con le suddette GPU AMD montate in link, capaci di comunicare a 10 Gbps tramite connessione Infiniband.

Il ricercatore ha usato il cluster così compostocon software Virtual OpenCL, e una versione modificata di Hashcat: il codice è stato opportunamente adattato alle esigenze specifiche di Gosney, e ora è in grado di supportare fino a 128 GPU gestibili in contemporanea. Già mettendo all’opera 25 co-processori “grafici” discreti, a ogni modo, i risultati sono a dir poco interessanti. Gosney ha provato a saggiare algoritmi e cifrari più o meno robusti, controllando un numero variabile di hash con un attacco a forza bruta nel tentativo di indovinare la password corrispondente.

Gli algoritmi più forti non permettono di calcare molto la mano nella ricerca, con Bcrypt e Sha512crypt che hanno fatto rispettivamente registrare 71.000 e 364.000 combinazioni al secondo. Quando poi si passa a qualcosa di meno impegnativo come NTLM (usato per proteggere le password di Windows XP e ancora presente in Windows 8), il numero di combinazioni che è possibile controllare sale fino a 348 miliardi di istanze al secondo.

Una password NTLM di 8 caratteri può essere “crackata” in meno di 6 ore, dice il ricercatore, mentre usando l’algoritmo meno forte (LM) il numero di combinazioni necessario per abbattere una password da 14 caratteri è di 20 miliardi al secondo per un totale di 6 minuti di lavoro.