計算能力は異常なペースで成長しています。AI熱はGPUと特殊な「アクセラレータ」への莫大な投資を促進し、ベンダーは大規模言語モデルの訓練に向けてますます強力なハードウェアを構築しています。
サイバーセキュリティ専門家にとって、それは興味深い質問を提起します。AIバブルが冷え込んでこのハードウェアが遊休状態で終わった場合、パスワードクラッキングのために改造できるでしょうか?もしそうなら、それはパスワードがまもなく時代遅れになることを意味するのでしょうか?
このシナリオを探索するために、2つのフラッグシップAIアクセラレータ、Nvidia H200とAMD MI300X、およびNvidiaのトップコンシューマーGPUであるRTX 5090を比較しました。目標はシンプルでした。$30,000のAI GPUが実際にパスワードをクラッキングする際に利点があるかどうかを見ることです。
テストの設定
Specopsリサーチチームは、攻撃者がハッシュ化されたパスワードをブルートフォースするのにかかる時間を調べた作業を以前に公開しています。MD5、bcryptおよびSHA-256の個別テストでは、同じハードウェアを使用して各アルゴリズムをどれだけ迅速にクラッキングできるかを測定しました。
GPUがこのプロセスに与える影響を確認するために、最も広く使用されているパスワード回復ツールの1つであるHashcatに目を向けました。Hashcatはベンチマーク機能を含み、異なるハードウェアがパスワードハッシュをどれだけ迅速に計算できるかを示します。
パスワードクラッキングは最終的には数字のゲームであるため、これは重要です。システムがハッシュを生成する速度が速いほど、正しいものを見つけるまでパスワード推測をテストするのが速くなります。
この比較では、5つの一般的に遭遇するハッシュアルゴリズムのHashcatベンチマーク結果を調べました:
- MD5
- NTLM
- bcrypt
- SHA-256
- SHA-512
これらは、組織のActive Directoryで見つかる一般的なアルゴリズムをカバーしています。比較的簡単にブルートフォースできる古い高速ハッシュから、はるかに強力な暗号化を備えた最新アルゴリズムまでです。
これは、3つのハイエンドGPUが直面するための現実的な基盤を提供します。これらの製品は、それぞれの市場でおおよそ同様のパフォーマンス層を占めており、エンタープライズAIハードウェアとコンシューマーGPUを比較するための有用な参照ポイントになっています。
GPUパスワードクラッキングの結果
|
アルゴリズム |
H200 ハッシュレート |
MI300X ハッシュレート |
RTX 5090 ハッシュレート |
|
MD5 |
124.4 GH/s |
164.1 GH/s |
219.5 GH/s |
|
NTLM |
218.2 GH/s |
268.5 GH/s |
340.1 GH/s |
|
bcrypt |
375.3 kH/s |
142.3 kH/s |
304.8 kH/s |
|
SHA-256 |
15092.3 MH/s |
24673.6 MH/s |
27681.6 MH/s |
|
SHA-512 |
5173.6 MH/s |
8771.4 MH/s |
10014.2 MH/s |
テストされたすべてのアルゴリズムにおいて、RTX 5090は生のハッシュ生成速度の両方のAIアクセラレータを上回るのは明らかです。複数の機能にわたって、RTX 5090はH200のほぼ2倍の速度でパスワードをハッシュ化します。
価格対パフォーマンスの比較は驚くべきものです。単一のH200はRTX 5090の価格の少なくとも10倍であるため、1対1の比較でAIアクセラレータからはるかに高いパフォーマンスが期待できるかもしれません。そうではありません。
これに加えて、2017年にさかのぼると、IBMは8つのNvidia GTX 1080sを使用してパスワード破り装置を構築しました。当時のフラッグシップコンシューマーGPUです。
そのシステムはNTLMハッシュクラッキングレート334 GH/sを達成しました。言い換えれば、9年前のコンシューマーGPUリグは、今日のフラッグシップAIアクセラレータと同様かそれ以上のパスワードクラッキングパフォーマンスを提供します。
したがって、「$30,000のGPUはパスワードクラッキングに向いているのか?」という質問に答えるとき、答えは明らかです。いいえ。
組織への実際のリスク
パスワードクラッキングは、エキゾチックまたは特殊なハードウェアを必要としません。プロのクラッカーや攻撃者は、すでに弱いパスワードをブルートフォースするために必要なすべての計算能力にアクセスできます。SHA-256テストでは、数字、大文字と小文字、記号を使用したパスワードはわずか21時間でクラッキングできました。
これが、より強力なパスワードを実行することが不可欠である理由であり、最も効果的な防御は長さです。同じ文字タイプの混合を使用した15文字のパスワードは、SHA-256でハッシュ化され、強力なGPUハードウェアを使用しても、クラッキングするのに約1670億年かかります。その時点で、ブルートフォーシングは現実的な攻撃ではありません。
より大きなリスクは、データ侵害で既に公開されているパスワードです。これはしばしばパスワードの再利用を通じて起こります。長く複雑なActive Directoryパスワードを作成し、安全に保存するよう従業員に要求するかもしれません。
しかし、同じパスワードがセキュリティ管理が弱いパーソナルデバイス、ウェブサイト、またはアプリケーション上で再利用される場合、その保護は消えます。
攻撃者が公開された認証情報を特定の個人に関連付けることができるなら、彼らが働いている場所を特定して、企業アカウントに対して同じパスワードを試すのは簡単です。初期アクセスブローカーの全体的な地下市場があり、正確にこのタイプの侵入を専門としています。
これは、組織内で侵害されたパスワードを検出できるツールを持つことの重要性を強調しています。公開された認証情報を早期に識別することにより、セキュリティチームはそれらのパスワードを使用してアクセスを獲得する前に、アカウントをリセットして攻撃者をブロックできます。
Specopsはどのように役立つか
Specopsパスワードポリシーなどのツールは、2つの重要な方法で役立ちます:
- 細粒度パスワードポリシー管理:当社のソリューションにより、セキュリティチームはActive Directoryに含まれるものをはるかに超えた細粒度パスワードポリシーを実装できます。これには、パスフレーズのサポート、およびお客様の組織が必要な標準に適合することを保証するための既製のコンプライアンステンプレートが含まれます。ダイナミックフィードバックは、ユーザーが覚えているが破り難い強いパスワードを作成するよう導きます。
- 侵害されたパスワードの継続的なスキャン:侵害されたパスワード保護機能は、50億以上の固有な侵害されたパスワードのデータベースに対してActive Directoryを継続的にスキャンします。カスタマイズ可能なメッセージは、パスワードが侵害されている場合はユーザーに警告します。
究極的には、組織はパスワードのみに防御の唯一の回線を依存すべきではありません。多要素認証(MFA)は、パスワードが最終的に回復されたとしても、アカウントを保護する追加のバリアを提供します。
Specops Secure Accessは、Windows Logon、RDP、VPN接続にセキュリティの追加レイヤーをもたらします。
Specopsが資格情報攻撃に対してActive Directoryを硬化させるのにどのように役立つことができるかを見ることに興味があれば、今日お問い合わせください。
翻訳元: https://www.bleepingcomputer.com/news/security/is-a-30-000-gpu-good-at-password-cracking/
