El investigador de seguridad Sam Croley llevó a Gorjeo para compartir lo increíble que es realmente el nuevo RTX 4090 de Nvidia… para descifrar contraseñas. Resulta que es el doble de rápido que el líder anterior, el RTX 3090, para descifrar una de sus contraseñas, incluso cuando se enfrenta al protocolo de autenticación New Technology LAN Manager (NTLM) de Microsoft y la función de pirateo de contraseñas Bcrypt.
Esencialmente, esto significa que cualquier jugador adinerado que use el RTX 4090 puede descifrar una contraseña promedio en cuestión de días, y eso es si sigue buenas prácticas de configuración de contraseñas (y la mayoría de nosotros definitivamente no lo hacemos).
El punto de referencia, HashCat V.6.2.6., es una herramienta de descifrado de contraseñas de renombre que está mejor en manos de administradores de sistemas y profesionales de ciberseguridad (de los cuales Croley fue un programador principal, por cierto). Permite a los investigadores probar o adivinar las contraseñas de los usuarios en las pocas situaciones que lo requieran.
Desafortunadamente, esto significa que los ciberdelincuentes también pueden hacerlo. Y con la evolución de las interfaces gráficas de usuario (GUI) y la facilidad de uso de estos programas en las computadoras modernas que cuentan con una tarjeta gráfica de alto rendimiento, se ha vuelto más fácil que nunca implementar estas herramientas.
¡Primeros benchmarks de @hashcat en el nuevo @nvidia RTX 4090! Llegando a una increíble mejora de >2x sobre el 3090 para casi todos los algoritmos. Fácilmente capaz de establecer récords: 300GH/s NTLM y 200kh/s bcrypt con OC. Gracias a blazer por la carrera. Puntos de referencia completos aquí: https://t.co/Bftucib7P9 pic.twitter.com/KHV5yCUkV414 de octubre de 2022
En las pruebas, la RTX 4090 supera a la RTX 3090 en casi todos los algoritmos con un rendimiento casi duplicado, lo cual no es tan sorprendente, incluso si representa una mejora de rendimiento mayor que la que vemos en el rendimiento gráfico de la RTX 4090. Este es probablemente el resultado de que Nvidia sigue invirtiendo gran parte de su desarrollo de diseño de chips gráficos para aumentar su rendimiento en el lado del centro de datos. El RTX 4090 brilló en los diversos tipos de ataques proporcionados en el software HashCat: ataques de diccionario, ataques de combinador, ataques de máscara, ataques basados en reglas y ataques de fuerza bruta.
Los investigadores estiman que una plataforma de hashing de contraseñas especialmente diseñada (que combina ocho GPU RTX 4090) podría descifrar una contraseña de ocho caracteres en 48 minutos. Según Statista y datos de 2017, las contraseñas de 8 caracteres son las más comunes entre las contraseñas filtradas, con una participación del 32 % de ellas. Esto no quiere decir que sean los menos seguros; es muy probable que signifique que es la longitud de caracteres de la contraseña más común. Y ahora pueden ser eliminados en menos de una hora por una plataforma de hash «especializada».
Por supuesto, eso supone que la contraseña tiene al menos ocho caracteres y que sigue las convenciones requeridas (al menos un número y un carácter especial incluidos). Sin embargo, cuando se impulsa a HashCat para probar las contraseñas más utilizadas, puede generar una operación de descifrado teórica de 48 minutos que intentó las 200 mil millones de combinaciones posibles hasta el rango de milisegundos. Pero entonces, eso era de esperar: incluso un humano sería extremadamente rápido para descifrar una contraseña como «123456», aparentemente la contraseña más común de 2021. (se abre en una pestaña nueva).
Otro elemento interesante a tener en cuenta es que el descifrado de contraseñas naturalmente tiene un costo asociado; invertir en un RTX 4090 de $ 1,600 es costoso, y cada intento de descifrar una contraseña también generará costos de energía. Así que no es sólo una cuestión de voluntad. Lo que hace el RTX 4090 es reducir el costo de descifrar contraseñas, algo que sucede siempre que salgan GPU más potentes mientras los algoritmos de seguridad permanecen relativamente estáticos. Sam Croley tiene un análisis extremadamente detallado e interesante en su publicación de blog que detalla sus descubrimientos sobre las proporciones de $/hash.
Por supuesto, otro chip en el hombro de la ciberseguridad es la cantidad de datos que deben cifrarse contra el desarrollo inexorable de la computación cuántica: computadoras que harán que casi todos los esquemas de cifrado utilizados actualmente sean peatonales. Sin embargo, al observar las disminuciones de costos en el descifrado de contraseñas solo con GPU, parece que la seguridad actual debería actualizarse a algoritmos poscuánticos más nuevos más temprano que tarde.
Relájese: no todos los propietarios de RTX 4090 convertirán su tarjeta gráfica de primer nivel en un pasatiempo para descifrar contraseñas. Además, la facilidad de descifrado de contraseñas de herramientas como HashCat generalmente se implementa contra activos fuera de línea, no en línea. Esto significa que las posibilidades de que su PC sea el objetivo de un propietario trastornado de RTX 4090 que descifre contraseñas a voluntad son escasas, tan escasas que son casi inexistentes.
Sin embargo, a la luz de esto, tal vez sea una buena idea repasar las mejores prácticas de seguridad en línea, comenzando por almacenar contraseñas más largas en uno de los mejores administradores de contraseñas.