Zum Stand des Passwortknackens

Gerade eine Meldung gelesen,

deutsch bei Golem, Urmeldung bei Tom’s Hardware,

wonach laut Forschern die Rechenleistung der neuen Graphikkarte Nvidia Geforce RTX 4090 – eigentlich für Gamer gemacht – so hoch sei, dass man auf einem Computer mit acht solcher Graphikkarten ein mit älteren Verfahren gehashtes Passwort aus acht Zeichen in unter einer Stunde – 48 Minuten sagen sie – knacken könnte. Und die Hardware sei nicht sehr teuer, die Software frei verfügbar und leicht zu bedienen.

Es leuchtet mir allerdings nicht ganz ein, warum sie sowohl NTLM von Microsoft, als auch bcrypt als anfällig nennen, trotzdem aber stark unterschiedliche Durchsatzwerte für beide Verfahren angeben:

First @hashcat benchmarks on the new @nvidia RTX 4090! Coming in at an insane >2x uplift over the 3090 for nearly every algorithm. Easily capable of setting records: 300GH/s NTLM and 200kh/s bcrypt w/ OC! Thanks to blazer for the run. Full benchmarks here: https://t.co/Bftucib7P9 pic.twitter.com/KHV5yCUkV4

— Chick3nman (@Chick3nman512) October 14, 2022

Vermutlich bezieht sich die hohe Durchsatzrate eher auf NTLM, aber man schaut besser in die komplette Ergebnisliste, die die Werte für viele getestete Verfahren enthält. Die Verfahren der Datenbanksysteme Postgresql und MySQL schneiden auch nicht als stark ab.

Wohlgemerkt: Das gilt alles unter der Annahme, dass der Angreifer Zugriff auf die gehashten Anmeldedaten hat.

Es heißt aber auch ganz klar, dass man sich von 8-stelligen Passworten einfach mal verabschieden kann, und die länger sein müssen. Und komplexer, wobei man das auch nicht überbewerten sollte, wenn im Zeichenvorrat zu Kleinbuchstaben, Großbuchstaben und Ziffern noch ein paar Sonderzeichen dazukommen.

Es dürfte aber der Grund sein, warum Microsoft seit einiger Zeit so dahinter her ist, die Passwortauthentifikation als alleinigen Zugangsweg abzuschaffen und mindestens auf 2FA zu gehen, neulich haben sie ja angefangen, bei irgendwelche Diensten die reine Passwortauthentifikation abzuschalten.

Denn soviel ist klar: Wenn man das mit 8 handelsüblichen Graphikkarte und frei verfügbarer Software in unter einer Stunde schafft (bei den schwachen Verfahren), und die stärkeren nur etwa um den Faktor 1000 oder 10000 darunter liegen, dann können Geheimdienste wie NSA und CIA das locker auch mit denen, denn da mal tausend Rechner hinzustellen ist für die nichts. Sowas haben die.

Eine interessante Frage wäre, was eigentlich die ganzen Bitcoin-Miner mit ihrer vielen teuren Hardware machen, seit das nicht mehr so gut läuft mit den Cryptowährungen. Die haben zwar oft auch dedizierte Hardware, aber es ist ja bekannt, dass Nvidia saftig Geld mit seinen Graphikkarten machte, die dann niemals eine Graphik anzeigten, weil sie für das Bitcoin-Mining eingesetzt wurden, das können die bei entsprechender Programmierung nämlich auch. Graphikkarten können verdammt viel, weil sie eben programmierbare Rechenwunder sind. Und da könnte es sein, dass es lukrativer ist, Passworte zu knacken als kriminelle Dienstleistung anzubieten, als noch auf Bitcoins herumzukauen.