domingo, 5 de junio de 2011

GPU baratos estan volviendo inútiles contraseñas seguras

Piensa que su contraseña de ocho caracteres consistente en caracteres en minúsculas, caracteres en mayúsculas y una rociada de números es suficientemente fuerte para protegerlo de un ataque de fuerza bruta.
Pienselo de nuevo!

Jon Honeyball, escribiendo para PC Pro, tiene una pieza sobria sobre como GPU modernas pueden ser aprovechadas como una poderosa herramienta contra contraseñas que antes eran consideradas a salvo de ataques de fuerza bruta.



Tome una GPU barata (como la Radeon HD 5770) y la herramienta revienta contraseñas gratuita potenciada por GPU 'ighashgpu' (http://www.golubev.com/hashgpu.htm) y poseerá una magra y malvada máquina de reventar contraseñas. Que tan magra y malvada? Bastante:
Los resultados son alarmantes. Trabajando contra contraseñas de login NTLM, una contraseña "fjR8n" puede ser rota en la CPU en 24 segundos, a una tasa de 9.7 millones de suposiciones de contraseña por segundo. En la GPU, toma menos de un segundo a una tasa de 3.300 millones de contraseñas por segundo.
Incremente la contraseña a 6 caracteres (pYDbL6), y la CPU se toma 1 hora y 30 minutos contra solo cuatro segundos el la GPU. Continue a 7 caracteres (fh0GH5h), y la CPU machacará por 4 días, contra unos francamente preocupantes 17 minutos y 30 segundos para la GPU.
Se pone peor. Tire una contraseña de nueve caracteres, aleatoria mazclando entre mayúsculas-minúsculas, y mientras una CPU tomaría unos abrumadores 43 años en romper esto, la GPU lo haría en 48 días.

Sin duda poniendo símbolos ahi dentro lo mantiene seguro, cierto? Equivocado! Tome una contraseña consistente en siete caracteres, contraseñas aleatorias mezclando entre mayúsculas-minúsculas/símbolos como "F6&B is" (note el espacio), eso debe ser dificil para un ataque de fuerza bruta, correcto? Una CPU tomará unos 75 días para recorrer a traves de las posibilidades, mientras una GPU se hace con ella en 7 horas.

Cual es la solución?. Bueno, Honeyball no lo sabe, y tampoco yo para ser perfectamente honesto. Lo que si se es que esto es una advertencia, y una que debe tomerse en serio. A menis que estemos dispuestos a pasarnos a contraseñas de 15-16 caracteres aleatorios, entre mayúsculas, minúsculas y símbolos (las que terminaran en notas PostIt), las contraseñas pronto solo ofreceran protección contra gente honesta.


Esta es una traducción de este artículo: Cheap GPUs are rendering strong passwords useless
Sugiero leer el artículo original por Jon Honeyball, How a cheap graphics card could crack your password in under a second.
Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)