5月2日报道,网络安全领域传来令人吃惊的消息:经过Hive Systems公司的一项研究发现,NVIDIA系列GPU显卡在密码破解任务上的表现更是达到了令人关注的高效率。在当今这个信息安全备受重视的时代,显卡强大的计算能力似乎成了双刃剑,既有利于科学计算,同时也可能对密码安全构成严峻挑战。
Hive Systems没有选择普通的AI破解方法,而是采用了更直接的哈希破解方式。通过GPU暴力计算撞库,他们对MD5和bcrypt两种流行的密码加密方式进行了测试。尽管bcrypt被认为是一种相对更为安全、破解难度更高的加密方法,但对于强大GPU 的撞库能力来说,仍是轻松可破。
在测试中,Hive Systems运用了各式各样的显卡,从玩家熟悉的RTX 2080、RTX 3090到强劲的RTX 4090,再到面向专业计算的加速卡A100。这些显卡的数量也从8块、12块,一直扩展到庞大的1万块规模(例如ChatGPT配置)。他们的测试结果显示,即使是MD5加密的纯数字密码,这些GPU也能在瞬间破解。如果是含有小写字母的密码,A100也基本上可在瞬间解决问题;而即便是游戏级的RTX显卡,最多也只需要6秒钟。
当密码难度上升,例如增加大小写字母混合、添加数字和符号,情况又有所不同。此时,RTX 2080仍然能在2小时之内完成破解;而RTX 4090的破解时间则被大大缩短,只需59分钟。A100显卡联合作业,其破解速度更是惊人——8块和12块的配置仅需十几分钟,而上万块GPU同时运作则能在1秒钟之内搞定。这一发现无疑让人对显卡破解密码的效能刮目相看。
然而当密码使用了bcrypt加密后,情况却截然不同。RTX 4090面对一个纯数字的bcrypt密码,需要耗费长达9分钟的时间来破解。如果密码是数字与大小写字母的组合,那么就算是RTX 4090,要想破解成功,也需耗费上至38年之久。一旦密码中加入了符号,使用RTX 2080的话需要的时间更是长达989年,即使是RTX 4090也需不停运行99年才能成功破解!对于A100来说,感觉上也不是那么容易了——8块和12块的配置分别需要花费17年和12年,即便是上万块GPU的联合作业,也得不停运转长达5天。
这项研究虽然结果让人震惊,但也不必过度恐慌。首先,破解者得先获取密码的哈希值,这本身就是一大障碍;其次,研究中没有包含多因子认证(MFA)这一安全层面,这会增加破解的难度。同时,要想搭建和运维上万块A100显卡那样的配置,对于个人来说几乎是不可能的任务。
最后,研究提出了对个人密码设置的警示:为了避免面临此类高效破解的风险,我们应避免设置简单的纯数字密码。一个比较合理的做法是,将大小写字母和数字结合使用,通过这种方式增加密码的复杂度和安全程度。随着技术的发展,我们应该不断更新自己的网络安全知识,以防范日益高效的密码破解技术。