با این کارت گرافیک همه نوع رمز عبور را زیر یک ساعت بکشنید!

شکستن رمزهای عبور از جمله فرایندهایی است که در پایه‌ای‌ترین تکنیک‌ها با حدس زدن ترتیب حروف، علائم، اعداد و … به روش توالی بی واسطه، صورت می‌گیرد. برای چنین عملیاتی نیاز به یک سیستم پردازشی با توان پردازشی قابل توجه است. اما آیا تا به حال به این فکر کرده‌اید که یک کارت گرافیک رده کاربر با چه سرعتی می‌تواند رمزهای عبور مختلف را بکشند؟

کارت‌های گرافیک برتر نه تنها برای بازی‌های رایانه‌ای عالی هستند، بلکه می‌توانند در شکستن رمزهای عبور نیز مفید باشند. بنابر گزارشی که Tom’s Hardware به نقل از شرکت Hive Systems منتشر کرده، کارت‌های گرافیک امروزی به حد قابل توجهی از توان پردازشی دست یافته‌اند که بتوانند بسیاری از رمزهای عبور را زیر یک ساعت، بکشنند.

این شرکت که یک ارائه‌دهنده راه‌حل‌های امنیت سایبری است، نسخه ۲۰۲۴ جدول رمزهای عبور خود و برخی مطالعات اضافی که جزئیات زمان لازم برای شکستن رمزهای عبور توسط کارت‌های گرافیک مختلف انویدیا را تشریح می‌کند، منتشر کرده است.

بر خلاف سایر مطالعات که شرکت‌ها از هوش مصنوعی برای شکستن رمزهای عبور استفاده کرده‌اند، رویکرد هایو سیستمز بر پایه هش‌ها است. هش کردن شامل بهم ریختن رمز عبور به ترکیبی رمزگذاری شده از حروف و اعداد است. سرورها رمزهای عبور را به صورت هش‌ها ذخیره می‌کنند، بنابراین حتی اگر هکر پایگاه داده را به سرقت ببرد، تنها هش‌ها را می‌بینند، نه رمز عبور واقعی. در این حالت هکرها با ترکیب‌های مختلفی از کاراکترها بازی می‌کنند، آن‌ها را هش کرده و با پایگاه‌های داده دزدیده شده که حاوی هش‌های رمز عبور هستند، مقایسه می‌کنند تا به دنبال تطابق‌ها بگردند و به اصطلاح، رمز را شکسته و به آن برسند.

از دید تئوری، یک کامپیوتر ساده با یک پردازنده معمولی برای انجام عمل هش کافی است، اما کارت‌های گرافیک رده بالا، مانند GeForce RTX 4090 یا A100 انویدیا، می‌توانند فرآیند را به طور قابل توجهی تسریع کنند. در تست‌های منتشر شده، هایو سیستمز از Hashcat، یک نرم‌افزار هش، برای معیارسنجی زمان لازم برای شکستن رمزهای عبور مختلف استفاده کرده است. بر خلاف دوره‌های قبلی تحقیقات منتشر شده توسط این شرکت که همگی متمرکز بر هش MD5 بودند، در گزارش امسال، هایو سیستم نتایجی با bcrypt را لیست کرده که یک الگوریتم هش رمز عبور پیچیده‌تر برای شکستن نسبت به  MD5 است.

جدول زیر مدت زمان شکست رمز عبور در شرایط مختلف با استفاده از کارت‌های گرافیک مختلف را نشان می‌دهد.

در اولین دور از هش‌های رمز عبور MD5، شرکت هایو سیستمز از یک رمز عبور نمونه هشت کاراکتری استفاده کرده که مطابق با دستورالعمل‌های رمز عبور NIST عمل می‌کنند. از آنجایی که اکثر ما این روزها از رمزهای عبور پیچیده‌تر با حروف بزرگ و کوچک، نمادها و اعداد استفاده می‌کنیم شاید ستون آخر جدول فوق بیشتر مد نظر باشد ولی اگر به دقت نگاه کنید، حتی با پیچیده‌ترین رمزها نیز کارت‌های پیشرفته انویدیا می‌توانند از مدت زمان 4 ساعت گرفته تا 1 ساعت، رمز عبور مورد نظر را بکشنند. در این شرایط هنگامی که از ترکیب کارت‌های شتاب دهنده A100 استفاده شود، می‌توان به زمان‌های بسیار کمتری هم رسید.

کارت گرافیک GeForce RTX 4090 انویدیا، پرچم‌دار فعلی بازی‌های رایانه‌ای، می‌تواند رمز عبور را در کمتر از یک ساعت بشکند. در همین حال، هشت کارت A100 می‌توانند کار مشابهی را در کمتر از 20 دقیقه انجام دهند. ابزاری مانند ChatGPT، که به ده‌ها هزار شتاب‌دهنده A100 دسترسی دارد، می‌تواند رمز عبور را در یک ثانیه بشکند.

اما با استفاده از bcrypt، زمان‌های هش به شدت افزایش می‌یابد. در حالی که GeForce RTX 4090 تنها 59 دقیقه برای شکستن یک هش MD5 زمان نیاز داشت، همان کارت گرافیک برای انجام عملیات رمزگشایی در bcrypt به 99 سال زمان نیاز دارد. حتی با استفاده از هشت شتاب‌دهنده A100 نیز زمان لازم برای شکستن رمزهای عبور در سخت‌ترین شرایط از 20 دقیقه به 17 سال افزایش می‌یابد. در این شرایط شاید تنها راه مطمئن برای هکرها، استفاده از مسیر ChatGPT است، اما این بدان معناست که شما باید مقدار زیادی پول برای اجاره کلاسترهای کارت گرافیک AI برای انجام کارهای شرورانه خود هزینه کنید!

اگرچه نتایج منتشر شده آزمایش فوق، بسیار ترسناک به نظر می‌رسند ولی حقیقت این است که به هیچ عنوان جای نگرانی نیست. باید در نظر داشته باشید که نتایج تست‌های فوق در شرایطی عنوان شده که هایو سیستمز فرض می‌کند که هکرها به هش دسترسی دارند. این بدان معناست که هکرها باید بتوانند ابتدا کل پایگاه داده هش شده را دزدیه و پس از آن الگوریتم‌های رمزگشایی خود را روی آنها اجرا کنند.

نکته دیگر این است که مطالعه فوق فرض می‌کند که احراز هویت چند عاملی (MFA) فعال نبوده یا در حمله دور زده شده است. در واقع باید گفت که این روزها باید در هر شرایطی، احراز هویت بیومتریک یا احراز هویت چندمرحله‌ای را برای تمام موارد حساس فعال کنید. البته در نظر داشته باشید که این لایه دوم نیز می‌تواند با حمله فیشینگ از میان برداشته شود. پس همواره مد نظر داشته باشید که توجه همزمان به همه توصیه‌های امنیتی لازم است و هیچ گاه نباید به داده‌های مهم خود با دیدی ساده و اطمینان صد در صدی در امنیت‌شان بنگریم.