Hive Systems, un’azienda di soluzioni di cybersicurezza, ha pubblicato l’edizione 2024 del “Hive Systems Password Table“, insieme al quale ha pubblicato alcuni studi in merito alla possibilità di bucare una password usando le GPU Nvidia, la cosa singola è che non parliamo di password banali, bensì di stringhe complesse e composte da numeri, lettere, caratteri speciali in disordine.
Lo studio condotto dall’azienda si basa sui sistemi di sicurezza che adoperano l’hashing, un sistema che trasforma la password in un hash crittografico, cosa che consente dunque di proteggere la password anche in caso di furto dal momento che un eventuale malintenzionato anche se dovesse appropriarsene, dovrebbe prima decriptarla senza usare la chiave dunque violandola, processo che normalmente richiederebbe tantissimo tempo ma che con le GPU Nvidia invece sembra più accessibile.
Le GPU bucano gli hash in un’ora
Hive Systems ha utilizzato Hashcat, un noto software di hashing, per stabilire i tempi necessari a decifrare password diverse, lo studio ha coinvolto algoritmi di hashing diversi, ad esempio bcrypt, un algoritmo di hashing più difficile da bucare rispetto a MD5.
I risultati sono sorprendenti e forse anche preoccupanti, una RTX 4090 può decifrare una password complessa in meno di un’ora, addirittura invece, utilizzando gli acceleratori grafici A100, con otto il tempo scende a 20 minuti, se si utilizzassero quelli che muovono ChatGPT, circa 10.000, la decifratura sarebbe istantanea.
Per fortuna l’algoritmo bcrypt rende tutto molto più complesso, infatti con quest’ultimo la RTX ha bisogno di quasi un secolo per violare una password che con MD5 richiederebbe invece circa un’ora, tempo che scende a 17 anni con l’uso di 8 acceleratori NVIDIA A100.
Inutile negare che lo studio mette in evidenza come sia necessario adottare meccanismi di sicurezza più avanzati, dal momento che le GPU attuali richiedono del tempo che sicuramente si abbasserà con le prossime generazioni, ecco dunque perché l’hashing deve evolversi di pari passo, altrimenti ogni password sarebbe virtualmente in pericolo.