Експеримент показав, що GeForce RTX 4090 може зламувати паролі за лічені хвилини

[Scoffer]

SergiusTheBest
А чому ти вирішив що зі 100 символів? Юнікод це 1114112 символів.

Відправлено через 34 хвилини 23 секунди:
Навіть якщо тільки ті для котрих намалювали гліфи то це 150к символів, половина з котрих китайські. Але в загальному випадку ніхто не забороняє вставляти і безгліфові, а шо такого. А якщо обмежують набір символів для пароля то треба лопатою по голові бити за такі справи.

[SergiusTheBest]

А чому ти вирішив що зі 100 символів? Юнікод це 1114112 символів.

Навіть якщо тільки ті для котрих намалювали гліфи то це 150к символів, половина з котрих китайські. Але в загальному випадку ніхто не забороняє вставляти і безгліфові, а шо такого. А якщо обмежують набір символів для пароля то треба лопатою по голові бити за такі справи.

Я просто показав розрахунок для різних варіантів. Немає сенсу використовувати всякі збочення, достатньо звичайні букви, цифри, символ і довжину мінімум 14 знаків.

20 знакомісць з алфавіту в 150к символів: 150000^20 = 3.3e+103, SHA512: 2^512 = 1.3e+154.

[Scoffer]

SergiusTheBest
До чого тут твій SHA3? В новині пряма мова про застарілі 128-бітні хеші, котрі, як не дивно, все ще в ходу. Ніхто не пише що перебрати 512 бітний хеш - просте заняття.

[SergiusTheBest]

До чого тут твій SHA3? В новині пряма мова про застарілі 128-бітні хеші, котрі, як не дивно, все ще в ходу. Ніхто не пише що перебрати 512 бітний хеш - просте заняття.

Для порівняння. Перебрати навіть 128-бітний хеш - це на межі фантастики.

[crunching]

Я останній раз використовував MD5 для паролей десь так у 2004, для кого це

Ще тоді це вже була дуже погана практика

[Scoffer]

SergiusTheBest
А в новині пишуть що цілком собі реально. І кому вірити?

[SergiusTheBest]

А в новині пишуть що цілком собі реально. І кому вірити?

Читати уважно: новини пишуть про підбір короткого пароля з 8 символів.

[Alligator]

А в новині пишуть що цілком собі реально. І кому вірити?

Читати уважно: новини пишуть про підбір короткого пароля з 8 символів.

Там написано:

При використанні алгоритму хешування MD5 флагманський відеоадаптер повністю розшифрував набір символів хешу за 59 хвилин, GeForce RTX 3090 знадобилося 2 години, а GeForce RTX 2080 вже 4 години. Вісім A100 впоралися за 19 хвилин, а суперкомп'ютер за 1 секунду.

MD5 (алгоритм 5-го обзора сообщений) — это широко используемая криптографическая хэш-функция, которая дает 128-битное хеш-значение.

Відправлено через 3 хвилини 59 секунд:

Так може я тупий но як воно щось там підбирає якщо умовно при невдалій спробі тебе просто блокує… Типу як воно підбирає символи?

є краща ідея!

спойлер

[SergiusTheBest]

Там написано: При використанні алгоритму хешування MD5 флагманський відеоадаптер повністю розшифрував набір символів хешу за 59 хвилин, GeForce RTX 3090 знадобилося 2 години, а GeForce RTX 2080 вже 4 години. Вісім A100 впоралися за 19 хвилин, а суперкомп'ютер за 1 секунду.

Дослівна цитата: "Також використовувалися системи з 8 та 12 прискорювачами Nvidia A100, і навіть суперкомп'ютер із 10 тисячами A100. Усі вони зламували 8-символьний пароль."

[Alligator]

Там написано: При використанні алгоритму хешування MD5 флагманський відеоадаптер повністю розшифрував набір символів хешу за 59 хвилин, GeForce RTX 3090 знадобилося 2 години, а GeForce RTX 2080 вже 4 години. Вісім A100 впоралися за 19 хвилин, а суперкомп'ютер за 1 секунду.

Дослівна цитата: "Також використовувалися системи з 8 та 12 прискорювачами Nvidia A100, і навіть суперкомп'ютер із 10 тисячами A100. Усі вони зламували 8-символьний пароль."

А ви, цікавий, взяти та промовчати, але ні, вириваєте цитати ніби інші не вміють читати. Вони, ломали ЗАХЕШОВАНИЙ 8-символьний пароль.

Компанія Hive Systems, яка спеціалізується на кібербезпеці, провела експеримент, щоб визначити можливості сучасних відеокарт у зломі паролів. Фахівці Hive Systems зламували паролі, що хешуються, з використанням алгоритмів MD5 і bcrypt. Піддослідними були відеокарти GeForce RTX 2080, GeForce RTX 3090 та GeForce RTX 4090. Також використовувалися системи з 8 та 12 прискорювачами Nvidia A100, і навіть суперкомп'ютер із 10 тисячами A100. Усі вони зламували 8-символьний пароль.

[Fulkrum]

Ти наче не в цьому світі живеш. До базового пароля додається циферка з новим порядковим номером і вперед. Очевидно не складно перебрати кілька варіантів знаючи початок щоб циферка в кінці зійшлась.

у світі в якому ти живеш зламувати хеші взагалі не треба. просто перебираєш топ100 найпопулярніших паролей і зламуєш пєнтагон.
А по факту хеш тобі не дасть можливості дізнатися яка була довжина паролю так що хоч цифєрку хоч буковку додавай хеш то зміниться повністю.

[SergiusTheBest]

А ви, цікавий, взяти та промовчати, але ні, вириваєте цитати ніби інші не вміють читати. Вони, ломали ЗАХЕШОВАНИЙ 8-символьний пароль.

Ну там навіть картинки додали, де чітко вказано 8 символьний пароль, які набори символів для нього використовували та скільки секунд треба на його взлом. Йде звичайний перебір паролей: АААААААА, АААААААБ, АААААААВ,... Для кожного з них рахується хеш і порівнюється з еталоном.

[Alligator]

А ви, цікавий, взяти та промовчати, але ні, вириваєте цитати ніби інші не вміють читати. Вони, ломали ЗАХЕШОВАНИЙ 8-символьний пароль.

Ну там навіть картинки додали, де чітко вказано 8 символьний пароль, які набори символів для нього використовували та скільки секунд треба на його взлом. Йде звичайний перебір паролей: АААААААА, АААААААБ, АААААААВ,... Для кожного з них рахується хеш і порівнюється з еталоном.

Давай підемо від зворотного? Там 2 скріншоти. Чому у разі підбору АААААААА, АААААААБ, АААААААВ,... у першому випадку підбірка 8-ми символьного паролю з регістром, цифрами, літерами, символами й т.д. зайняло для RTX 4090 59 хвилин, а у другому 99 років?
Можливо тому, що підбирали саме ХЕШ АААААААА, АААААААБ, АААААААВ у MD5 та bcrypt, а не тупо перебір 8-ми символів бо у такому разі різниці в часі не було б?
Суть то не у тому, щоб ввести в можливі комбінації 00000001, побачити в MD5 ced165163e51e06e01dc44c35fea3eaf чи у bcrypt $2a$12$Z.7YxATorZRnRWDpedgi8OW.KErFQOEyznrqOqjr53/1/DFOHVUXK і бути щасливим, а навпаки, маючи в MD5 ced165163e51e06e01dc44c35fea3eaf чи у bcrypt $2a$12$Z.7YxATorZRnRWDpedgi8OW.KErFQOEyznrqOqjr53/1/DFOHVUXK дійти висновку, що там 00000001 й саме тому у другому варінті з bcrypt різниця у 5 років в порівняні з MD5.

Ти наче не в цьому світі живеш. До базового пароля додається циферка з новим порядковим номером і вперед. Очевидно не складно перебрати кілька варіантів знаючи початок щоб циферка в кінці зійшлась.

у світі в якому ти живеш зламувати хеші взагалі не треба. просто перебираєш топ100 найпопулярніших паролей і зламуєш пєнтагон.
А по факту хеш тобі не дасть можливості дізнатися яка була довжина паролю так що хоч цифєрку хоч буковку додавай хеш то зміниться повністю.

Так, але знаючи точну довжину паролю (наприклад від 6 до 18) та уведені знаки (наприклад літери + цифри) у тебе є конкретний перелік можливих комбінацій, ти автоматично відкидаєш всі комбінації від 1 до 5 символів та від 19 й більше та вже оцінюєш кількість часу на можливий підбір.

[n+gibat[]r]

Можно вводить же пароли на латинской раскладке но кириллические слова, тогда получаются сложные пароли вида "[eqNt,tDChfre[frthhFYtGfhjkm" которые легко запомнить но сложно угадать.

Так і брутфорс підбирає по символам, а не по словам. Тому рано чи пізно дійде і до "[eqNt,tDChfre[frthhFYtGfhjkm".

По словниках спочатку, усілякі Qwerty12345, Password1, MyPassword1, бо перебирати паролі 20+ рандомних символів зі спецсимволами, буквами та цифрами це купа часу (багато рокiв) і може не мати сенсу.

[dead_rat]

Я останній раз використовував MD5 для паролей десь так у 2004, для кого це

Ще тоді це вже була дуже погана практика

Для того, хто використав MD5 у 2004 і воно досі працює

Відправлено через 2 хвилини 37 секунд:

у світі в якому ти живеш зламувати хеші взагалі не треба. просто перебираєш топ100 найпопулярніших паролей і зламуєш пєнтагон.

Ти не повіриш!
German defence ministry reveals ‘1234’ password

[Alligator]

Ти не повіриш!
German defence ministry reveals ‘1234’ password

Хе-хе, классик. Ну у нас не настолько безолаберные, файломойка полиции имела пароль mvs102

По словниках спочатку, усілякі Qwerty12345, Password1, MyPassword1, бо перебирати паролі 20+ рандомних символів зі спецсимволами, буквами та цифрами це купа часу (багато рокiв) і може не мати сенсу.

Самые сложные пароли у самых безграмотных людей (С)

[Scoffer]

У одного з попередніх роботодавців адмінський пароль до SIEM-системи був пробіл. Просто пробіл.
Так-так, до тої SIEM що Security information and event management, а не якоїсь іншої абревіатури.
От вже не знаю як вони його встановили, бо в SIEM на замовчуванням не дозволяють такі цікаві паролі, але самий сміх не в цьому. Самий сміх що вони його ЗАБУЛИ. і потім підбирали.

[Alligator]

Scoffer, у школі на нокіа 6680 у мене був пароль ****, саме чотири зірочки.
На дві ноди не могли попасти, не один з адмінских паролів не підходив, на одній пароль був "пусто", на другій "1234".

[dead_rat]

Scoffer
Ну а що, ніхто не очікуватиме пароль з менш ніж 8 символами. То і не взламають

[SergiusTheBest]

Давай підемо від зворотного? Там 2 скріншоти. Чому у разі підбору АААААААА, АААААААБ, АААААААВ,... у першому випадку підбірка 8-ми символьного паролю з регістром, цифрами, літерами, символами й т.д. зайняло для RTX 4090 59 хвилин, а у другому 99 років?

Тому, що MD5 обчислюється швидше, ніж bcrypt. Відповідно перебір АААААААА, АААААААБ, АААААААВ,.. буде швидшим.