Evidentemente quebra de senha por força bruta assistida por hardware chegou:
Uma técnica para decifrar senhas de computador usando hardware de computação gráfica barato e pronto para uso está causando alvoroço na comunidade de segurança de computadores.
A Elcomsoft, uma empresa de software com sede em Moscou, Rússia, registrou uma patente nos EUA para essa técnica. Ela aproveita os recursos de “processamento paralelo em massa” de uma unidade de processamento gráfico (GPU) – o processador normalmente usado para produzir gráficos realistas para videogames.
Usando uma placa de vídeo de US$ 800 da nVidia chamada GeForce 8800 Ultra, a Elcomsoft aumentou a velocidade de quebra de senhas em um fator de 25, de acordo com o CEO da empresa, Vladimir Katalov. As senhas mais difíceis, inclusive as usadas para fazer login em um computador com Windows Vista, normalmente levariam meses de tempo de processamento contínuo para serem decifradas usando a unidade de processamento central (CPU) do computador. Ao utilizar uma GPU de US$ 150 – menos potente que a placa nVidia 8800 – a Elcomsoft afirma que elas podem ser decifradas em apenas três a cinco dias. As senhas menos complexas podem ser recuperadas em minutos, em vez de horas ou dias.
GPUs, com suas paralelismo maciço incorporadoforam construídos para fazer coisas como esta. Sinto-me encorajado por finalmente podermos aproveitar todo esse silício de vídeo para fazer coisas úteis além de renderizar Doom a 60 quadros por segundo com anti-aliasing e filtragem anisotrópica.
Há um pouco mais de detalhes sobre a abordagem da elecom em seu PDF de uma página. Eles fornecem números reais.
Usando a técnica de “força bruta” de recuperação de senhas, foi possível, embora demorado, recuperar senhas de aplicativos populares. Por exemplo, a senha de logon do Windows Vista pode ser uma cadeia de oito caracteres composta de caracteres alfabéticos maiúsculos e minúsculos. Haveria cerca de 55 trilhões (52 elevado à oitava potência) de senhas possíveis. O Windows Vista usa o hashing NTLM por padrão, portanto, usando um PC dual-core moderno, o senhor poderia testar até 10.000.000 de senhas por segundo e realizar uma análise completa em cerca de dois meses. Com a nova tecnologia da ElcomSoft, o processo levaria apenas de três a cinco dias, dependendo da CPU e da GPU.
Testes preliminares usando o Elcomsoft Distributed Password Recovery mostram que o [brute force password cracking] aumentou a velocidade por um fator de vinte, simplesmente conectando-se à GPU integrada de uma placa de vídeo de US$ 150. A ElcomSoft espera encontrar resultados semelhantes à medida que essa nova tecnologia for incorporada aos seus produtos de recuperação de senhas para Microsoft Office, PGP e dezenas de outros aplicativos populares.
É divertido e faz com que o chocante A manchete “Supercomputadores que quebram senhas em todos os desktops tornam as senhas irrelevantes”, mas os supercomputadores que quebram senhas em todos os desktops não o faz significa o fim da civilização protegida por senha como a conhecemos. Vamos fazer as contas.
Quantas senhas podemos tentar por segundo?
| CPU de núcleo duplo | 10,000,000 |
| GPU | 200,000,000 |
Quantas combinações de senha temos que tentar?
528 = 53,459,728,531,456
São muitas senhas em potencial. Vamos parar de jogar Quake Wars por alguns dias e começar a descobrir:
53,459,728,531,456 / 10,000,000 pps / 60 / 60 / 24 = 61.9 days 53,459,728,531,456 / 200,000,000 pps / 60 / 60 / 24 = 3.1 days
Conforme prometido pela elecom, isso equivale a um pouco mais de três dias na taxa de crack da GPU, e dois meses com a taxa de crack da CPU. Oooh. Assustador. O senhor já está preocupado? Se sim, o senhor não deveria estar. Veja o que acontece quando adiciono mais quatro caracteres à senha:
5212 / 200,000,000 pps / 60 / 60 / 24 = 22,620,197 days
Para os senhores que estão fazendo contas em casa, com uma senha de 12 caracteres, esse ataque de força bruta assistido por hardware levaria 61.973 anos. Mesmo que aumentássemos a taxa de ataque de força bruta em um fator de mil, seria ainda levam 62 anos.
A ideia da Elecom de uma senha de 8 caracteres também é muito conveniente. Somente letras minúsculas e maiúsculas, um total de 52 opções possíveis por caractere. Quem tem senhas sem pelo menos um número? Até mesmo os usuários do MySpace são mais inteligentes do que isso. Se o senhor incluir um número em sua senha de 8 caracteres ou um caractere não alfanumérico como “%”, o tempo de ataque aumentará substancialmente. Não o suficiente para atenuar completamente o ataque em potencial, mas o senhor com certeza reduziria bastante qualquer esforço de força bruta ao trocar um ou dois caracteres.
628 / 200,000,000 pps / 60 / 60 / 24 = 13 days 728 / 200,000,000 pps / 60 / 60 / 24 = 42 days
Pessoalmente, Acho que é mais fácil usar uma frase de efeito do que um monte de caracteres aleatórios e difíceis de lembrar como senha. Mesmo que sua frase secreta esteja toda em minúsculas – apenas 26 caracteres possíveis – esse expoente é incrivelmente potente.
2610 / 200,000,000 pps / 60 / 60 / 24 = 8 days 2612 / 200,000,000 pps / 60 / 60 / 24 = 15 years 2614 / 200,000,000 pps / 60 / 60 / 24 = 10,228 years
Quando chegar a apenas 14 caracteres, mesmo que sejam todos minúsculos, o senhor pode praticamente esquecer a possibilidade de alguém fazer força bruta com sua senha. Sempre.
Então, o que aprendemos?
Os ataques de força bruta, mesmo os ataques de força bruta sofisticados assistidos por hardware, são ainda para leigos. Se isso é o melhor que seus atacantes podem fazer, eles são muito estúpidos para serem perigosos. O Brute forcing é quase sempre uma perda de tempo, quando o vetores sociais muito mais eficazes e abordagens técnicas superiores estão prontamente disponíveis.
Os ataques de força bruta assistidos por hardware nunca serão uma ameaça confiável. Mas as senhas curtas e simples ainda são perigosas. Se o sua senha tiver apenas 8 caracteres do alfabeto, e se o ela for exposta de uma forma que permita um ataque de força bruta assistido por hardware, o senhor pode estar em apuros. Tudo o que o senhor precisa fazer para dormir tranquilo à noite (bem, pelo menos no que diz respeito a ataques de força bruta) é escolher uma senha um pouco mais longa. É muito mais seguro pensar em sua segurança em termos de frases-senha em vez de senhas. E, ao contrário das senhas “seguras” de 8 caracteres, as frases-senha também são fáceis de lembrar. O senhor já pensou em me ajudar a divulgar as frases-senha?