ausgefallenes GPU-Rack knackt nicht nur Windows-Passwörter innerhalb von wenigen Minuten

07.12.2012 10:57 Uhr | POINTman

Insgesamt 14 Grafikkarten mit möglichen 128 Grafikprozessoren sollen mittels GPGPU-Berechnungen komplexe Passwörter in kürzester Zeit aushebeln können

Sicherheit ist bekannterweise nur eine Frage des betriebenen Aufwandes, diese Weisheit hat nicht nur in der Computer-Branche Bestand. Auf der Konferenz Passwords^12 stellte Jeremi Gosney nun einen GPU-Cluster vor, welcher Passwörter in nur wenigen Sekunden knacken kann. In der derzeitigen Ausführung arbeiten in diesem 14 Grafikkarten im Verbund, wobei die Leistungsaufnahme bis zu 6 kW betragen kann.

Bis zu 180 Milliarden MD5-Hashes pro Sekunde können mit diesem Rechenmonster im Idealfall geprüft werden. Möglich sind aber auch 63 Milliarden SHA1-Hashes. Die wesentlich komplexeren Bcrypt- und Sha512cryt-Hashes erledigt das Cluster mit 71.000 bzw. 364.000 Kombinationen pro Sekunde. Interessant sind aber die sogenannten LM- und NTLM-Hashes, da diese zur Authentifizierung von z.B. Windows-Passwörtern verwendet werden. 348 Milliarden NTLM-Hashes schafft das Cluster pro Sekunde und knackt ein acht Zeichen langes Passwort in weniger als sechs Stunden. Die weniger auf LM-Hashes optimierte Software erreicht hier 20 Milliarden Hashes pro Sekunde, was ein 14 Zeichen langes Passwort in nur sechs Minuten offen legt.

In diesem Bereich hat sich Jeremi Gosney auch bereits einen Namen gemacht und rund 90 Prozent von 6,5 Millionen LinkedIn-Passwörtern ausspähen können. Angriffspunkte sind immer wieder veraltete Hash-Algorithmen, die aufgrund der Abwärtskompatibilität noch immer im Einsatz sind. Ein Beispiels sind die bereits erwähnten LM- und NTLM-Hashes für Windows 8 und Windows Server 2012, die Microsoft schon seit Windows-NT zum Einsatz kommen.

Quelle: heise/hwluxx
Oben