Skaičiavimo galia auga nepaprastai greitai. AI padidėjimas paskatino milžiniškas investicijas į GPU ir specializuotus greitintuvus, o pardavėjai kuria vis galingesnę aparatinę įrangą, skirtą didelėms kalbų modeliams mokyti.
Kibernetinio saugumo specialistams tai kelia įdomų klausimą. Jei dirbtinio intelekto burbulas atvės ir ši aparatinė įranga nustos veikti, ar ji gali būti panaudota slaptažodžiui nulaužti? Ir jei taip, ar tai reiškia, kad slaptažodžiai greitai pasens?
Norėdami ištirti šį scenarijų, palyginome du pavyzdinius AI greitintuvus, Nvidia H200 ir AMD MI300X, su geriausiu Nvidia vartotojų GPU RTX 5090. Tikslas buvo paprastas: pamatyti, ar 30 000 USD kainuojantis AI GPU iš tikrųjų turi pranašumą nulaužant slaptažodžius.
Testo nustatymas
„Specops“ tyrimų grupė anksčiau paskelbė darbą, nagrinėjantį, kiek laiko užtrunka užpuolikams, kad šiurkščiai priverstų maišyti slaptažodžius. Atskiruose MD5, bcrypt ir SHA-256 bandymuose matavome, kaip greitai kiekvienas algoritmas gali būti nulaužtas naudojant tą pačią aparatinę įrangą.
Norėdami pamatyti, kaip GPU veikia šį procesą, kreipėmės į Hashcat – vieną iš plačiausiai naudojamų slaptažodžio atkūrimo įrankių. „Hashcat“ apima lyginamosios analizės galimybes, kurios parodo, kaip greitai skirtinga aparatinė įranga gali apskaičiuoti slaptažodžių maišą.
Tai svarbu, nes slaptažodžių nulaužimas galiausiai yra skaičių žaidimas. Kuo greičiau sistema gali generuoti maišą, tuo greičiau ji gali išbandyti slaptažodžio spėjimus, kol suras tinkamą.
Šiam palyginimui pažvelgėme į Hashcat etaloninius penkių dažniausiai pasitaikančių maišos algoritmų rezultatus:
- MD5
- NTLM
- bcrypt
- SHA-256
- SHA-512
Tai apima įprastus algoritmus, esančius organizacijos „Active Directory“, nuo senesnių, greitų maišų, kuriuos gana lengva atlikti žiauriai jėga, iki modernių algoritmų su daug stipresne kriptografija.
Tai suteikia realų pagrindą mūsų trims aukščiausios klasės GPU. Šie produktai iš esmės užima panašų našumo lygį atitinkamose rinkose, todėl jie yra naudingi atskaitos taškai lyginant įmonės AI aparatinę įrangą su vartotojų GPU.
„Verizon“ duomenų pažeidimo tyrimo ataskaitoje nustatyta, kad pavogti kredencialai yra susiję su 44,7 % pažeidimų.
Lengvai apsaugokite „Active Directory“ su suderinama slaptažodžių politika, blokuoja 4 ir daugiau milijardų pažeistų slaptažodžių, padidina saugumą ir sumažina palaikymo rūpesčius!
Išbandykite nemokamai
GPU slaptažodžio nulaužimo rezultatai
|
Algoritmas |
H200 Hashrate |
MI300X Hashrate |
RTX 5090 Hashrate |
|
MD5 |
124,4 GH/s |
164,1 GH/s |
219,5 GH/s |
|
NTLM |
218,2 GH/s |
268,5 GH/s |
340,1 GH/s |
|
bcrypt |
375,3 kH/s |
142,3 kH/s |
304,8 kH/s |
|
SHA-256 |
15092,3 MH/s |
24673,6 MH/s |
27681,6 MH/s |
|
SHA-512 |
5173,6 MH/s |
8771,4 MH/s |
10014,2 MH/s |
Iš karto aišku, kad pagal kiekvieną išbandytą algoritmą RTX 5090 pranoksta abu AI greitintuvus neapdorotos maišos generavimo greičiu. Naudodamas kelias funkcijas, RTX 5090 slaptažodžių maišą naudoja beveik dvigubai greičiau nei H200.
Kainos ir našumo palyginimas stebina. Vienas H200 yra bent dešimt kartų didesnis už RTX 5090 kainą, todėl galite pagrįstai tikėtis kur kas didesnio AI greitintuvo našumo, lyginant vienas su vienu. Taip tiesiog nėra.
Be to, 2017 m. IBM sukūrė slaptažodžių nulaužimo įrenginį, naudodama aštuonis Nvidia GTX 1080, pavyzdinį to meto vartotojų GPU.
Ši sistema pasiekė NTLM maišos nulaužimo greitį 334 GH/s. Kitaip tariant, devynerių metų senumo vartotojų GPU įrenginys užtikrina panašų arba geresnį slaptažodžių nulaužimo našumą kaip ir šiandieniniai pavyzdiniai AI greitintuvai.
Taigi, atsakant į klausimą „ar 30 000 USD vertės GPU tinka slaptažodžiams nulaužti?“, atsakymas aiškus: ne.
Tikra rizika organizacijoms
Slaptažodžiui nulaužti nereikia egzotiškos ar specializuotos aparatinės įrangos. Profesionalūs krekeriai ir užpuolikai jau turi prieigą prie visos kompiuterinės galios, kurios jiems reikia, kad būtų galima žiauriai priverstinai panaudoti silpnus slaptažodžius. Mūsų SHA-256 bandymų metu slaptažodis, kuriame naudojami skaičiai, didžiosios ir mažosios raidės bei simboliai, gali būti nulaužtas vos per 21 valandą.
Štai kodėl labai svarbu užtikrinti stipresnių slaptažodžių vykdymą, o veiksmingiausia apsauga yra ilgis. 15 simbolių slaptažodis, naudojant tą patį simbolių tipų derinį, sumaišytą su SHA-256, užtruktų apie 167 milijardus metų, net ir naudojant galingą GPU aparatinę įrangą. Tuo metu brutali prievarta tiesiog nėra realus išpuolis.
Didesnė rizika yra slaptažodžiai, kurie jau buvo atskleisti duomenų pažeidimo metu. Tai dažnai nutinka pakartotinai naudojant slaptažodį. Galite reikalauti, kad darbuotojai sukurtų ilgus sudėtingus „Active Directory“ slaptažodžius ir juos saugiai saugotų.
Tačiau ši apsauga išnyksta, jei tas pats slaptažodis pakartotinai naudojamas asmeniniuose įrenginiuose, svetainėse ar programose su silpnesne saugos kontrole.
Jei užpuolikai gali susieti atskleistus kredencialus su konkrečiu asmeniu, dažnai nesunku nustatyti, kur jie dirba, ir bandyti naudoti tą patį slaptažodį įmonės paskyrose. Egzistuoja visa požeminė pirminės prieigos brokerių rinka, kuri specializuojasi būtent tokio tipo įsilaužimuose.
Tai pabrėžia įrankių, galinčių aptikti pažeistus slaptažodžius jūsų organizacijoje, svarbą. Anksti identifikavus atskleistus kredencialus, saugos komandos gali iš naujo nustatyti paskyras ir užblokuoti užpuolikus prieš naudojant tuos slaptažodžius prieigai gauti.
Kaip Specops padeda
Tokie įrankiai kaip „Specops“ slaptažodžio politika padeda dviem svarbiais būdais:
- Išsamus slaptažodžių politikos valdymas: Mūsų sprendimas leidžia saugos komandoms įgyvendinti tikslią slaptažodžių politiką, kuri nėra įtraukta į „Active Directory“. Tai apima slaptafrazių palaikymą, taip pat paruoštus atitikties šablonus, kad jūsų organizacija atitiktų būtinus standartus. Dinaminis grįžtamasis ryšys padeda vartotojams sukurti stiprius slaptažodžius, kuriuos jie prisimena, bet kuriuos sunku nulaužti.
- Nuolatinis slaptažodžių nuskaitymas: Pažeisto slaptažodžio apsaugos funkcija nuolat nuskaito jūsų „Active Directory“ duomenų bazę, kurioje yra daugiau nei 5 milijardai unikalių pažeistų slaptažodžių. Pritaikomi pranešimai įspėja vartotojus, jei jų slaptažodis yra pažeistas.
Galiausiai organizacijos neturėtų pasikliauti slaptažodžiais kaip vienintele gynybos linija. Daugiafaktoris autentifikavimas (MFA) suteikia papildomą kliūtį, kuri apsaugo paskyras, net jei slaptažodis galiausiai atkuriamas.
„Specops Secure Access“ suteikia papildomą saugumo lygį „Windows“ prisijungimo, RDP ir VPN ryšiams.
Jei norite sužinoti, kaip „Specops“ gali padėti apsaugoti jūsų „Active Directory“ nuo kredencialų atakų, susisiekite su mumis šiandien.
Rėmė ir parašė Specops Software.
