Los amantes de los videojuegos seguramente sueñan con contar en sus equipos con las configuraciones más potentes tanto a nivel de CPU como de GPU, y en este sentido la combinación de varias tarjetas gráficas era una de las opciones más atractivas. Lo que ocurre es que combinar varias tarjetas gráficas no solo sirve para jugar.
De hecho un grupo de expertos en seguridad han desvelado cómo combinar nada menos que ocho GeForce GTX 1080 para un propósito singular: crackear contraseñas a velocidades de vértigo.
Una potencia brutal para romper contraseñas
El servidor dedicado a romper contraseñas no es barato, pero desde luego no es tan caro como suelen ser los supercomputadores que se centran en esta tarea. Los creadores del mismo hacen usaron de una placa base de Tyan, tradicional en las configuraciones multiCPU y multiGPU, a la que "inundaron" con 2 procesadores Xeon E5, 64 GB de memoria, un SSD de 1 TB y 8 tarjetas EVGA GeForce GTX 1080 Founders Edition (recomiendan esas ediciones específicas).
El software utilizado para controlar ese singular servidor es Ubuntu 14.04.3 Server, sobre el cual corren tanto hashcat como hashview, dos programas muy populares entre los "cazadores de contraseñas".
El uso de diccionarios (en ciertos casos) y de la potencia bruta de la computación GPGPU que ofrecen esas ocho tarjetas gráficas bestiales hace el resto. En una prueba sintética rápida comprobaron cómo ese servidor era capaz de llegar a ofrecer 341 GH/s (gigahash por segundo, mil millones de comprobaciones de contraseñas), algo que lógicamente hace que incluso la búsqueda con métodos de fuerza bruta sean factibles en ciertos escenarios.
Este tipo de servidor puede usarse para realizar auditorías de seguridad en todo tipo de servicios web, pero también para verificar que las contraseñas siguen siendo el eslabón débil de muchos usuarios que tratan de proteger sus datos. En un ejemplo del que mostraban la captura se veía como contraseñas como "Passw0rd!", "Password1", "Winter2017" o "Password!" eran especialmente populares en el fichero analizado. Lo que todos nos preguntamos, claro, es qué tal se jugaría a "Battlefield 1" o a "Overwatch" con este "monstruo".
Más información | ShellIntel
En Xataka | NVIDIA Pascal: 1 TB/s y hasta 32 Gb de RAM para intentar reinar entre las tarjetas gráficas
Ver 34 comentarios
34 comentarios
satynade
No hubiera estado de mas hacer unas cuentas (corregidme si me equivoco):
1) Supongamos que usamos 27 letras mayúsculas y minúsculas, 10 números y 1 signo de puntuación 27+27+10+1=65 símbolos
2) La contraseña tiene 8 caracteres (Por ejemplo XaTaKa.1 ). Esto es 65^8 = 3.18x10^ 14 combinaciones posibles.
3) Si la máquina resuelve mil millones, 10^9 combinaciones / seg
4) 3.18x10^ 14 comb / 10^9 comb/seg = 3.18x10^ 5 segundos es lo que tarda en barrer todo el espacio de contraseñas de 8 caracteres
Nota: en realidad habría que calcular el tiempo de 1 carácter + 2 caracteres + ...+ 8 caracteres
5)
Para 8 caracteres: 3.18x10^ 5 / 3600 = 88 horas
Para 10 caracteres 3.18x10^ 7 / 3600 = 8833 horas = 368 días
Para 8+X caracteres 3.18x10^ (5+X) horas
whisper5
Tal como se muestra por algún comentario, la potencia de nuestros ordenadores permite calcular el 'hash' de contraseñas de pocos caracteres en poco tiempo, y se debe tener en cuenta que las agencias de seguridad de los estados tienen ordenadores infinitamente más potentes que los nuestros.
Para solventar el problema de poder averiguar una contraseña de pocos caracteres a través de su 'hash', lo que se suele hacer es asignar a cada usuario una cadena de caracteres larga (por ejemplo 40 caracteres) y calcular el 'hash' de esa cadena más la contraseña, en vez de únicamente la contraseña. De esta manera, si la contraseña tiene 10 caracteres y la cadena particular de ese usuario (se suele denominar 'salt') tiene 40 caracteres, el 'hash' generado se basa en 50 caracteres, no los 10 de la contraseña del usuario, y por tanto ya es muchísimo más difícil de obtener.
El problema suele aparecer cuando la base de datos se ve comprometida. Cuando se lee en los medios que se ha robado una base de datos también se suele indicar que los usuarios cambien la contraseña. Eso es así porque si alguien obtiene esos 40 caracteres de un usuario de la base de datos ya es mucho más fácil obtener los 10 restantes. Hay una forma de protegerse contra esto (se denomina PBKDF) y consiste en no hacer que el 'hash' almacenado sea el 'hash' de la contraseña y el valor 'salt', sino que sea el 'hash' del 'hash' del 'hash', .... y así miles de veces ... , del 'hash' de la contraseña y el valor 'salt'. Si esto se hace, por ejemplo, 100000 veces, calcular la contraseña a partir del 'hash' será 100000 veces más lento.
Por si todo esto falla, y mira que se ha dicho mil veces, a ver si cuaja en los hábitos de los usuarios y responsables de sitios web, lo mejor es usar autenticación por doble factor (2FA), porque aunque alguien consiga la contraseña, si no tiene el segundo factor (por ejemplo, un móvil), no podrá autenticarse.
Usuario desactivado
Se les olvida algo fundamental, un buen hacker usara la brute force como ultimo recurso. Lo primero es la ingenieria social. La mayoria de las personas usa datos personales para crear sus passwords. Ya no hablemos de la fecha de nacimiento, podrian ser detalles tan raros como el nombre del parque en el que comio su primer helado. Por eso lo más importante es conocer lo más que se pueda de la victima. Porque con eso puedes crear bases de datos para crear diccionarios personalizados y asi aumentar las posibilidades de tener exito.
Ahora que si me prestaran un ordenador con estas carecteristicas seria muy feliz. Solo quiero mencionar algo, el hacking siempre es algo que se debe usar con responsabilidad, no es buena idea ir hackeando cuentas no más porque si.
theinquirer
6.600 Euros.
Xeon de 10 Cores y 20 Hilos de ejecución, 64 Gb de RAM, 7 Gráficas 1080 , 2 Fuentes de 1700Watt, 1Tb de SSD.... 6.600 Euros... es una de nuestras estaciones de trabajo. Bastante menos de la mitad de lo que estos pavos han pagado por esa máquina (les recuerdo que usan 2 micros para poder usar todos los PCIe en esa placa, incrementando el precio.. y que usan la potencia de las GPU, no las CPU).
klingsor
Evidentemente, han puesto los datos del algoritmo con el que mayor velocidad se obtiene. Si prueban con un bcrypt, por ejemplo, otro gallo cantaría.
Aquí hay un benchmark completo con todos los algoritmos soportados por hashcat y los modelos de gráficas del artículo: https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40
Orbayo
Estamos jodidos.
hellgadillo
Me gustaría jugar una partida de pong en esa cosa.
perspectivas
Las contraseñas tienen un uso muy antiguo y como concepto también lo son, ¿que es lo que nos impide buscar un mejor sistema/método para ese cometido?.
Si todos llegamos a la misma conclusión sobre el método y aun así este no resuelve el problema del cometido (mantener la privacidad), ¿no seria conveniente empezar a enfocar el método desde una perspectiva diferente?.
Cuesta imaginarse un mundo en tres dimensiones (o las que sean) cuando nos limitamos a dos, solo por comodidad y falta de imaginación.
Es solo una opinión.
JGP
Pensaba que la máxima cantidad de gráficas pascal que se podian poner en sli eran 2
mtbkule
Las cuentas muy bonitas, pero se te ha olvidado el 341 que hay delante del Giga. 1 gigahash de potencia es nada y menos hoy día.
Además de que no hay que olvidar que barrer todo el espacio de 8 caracteres no implica probar todas las contraseñas de 8 caracteres o menos...
hushino
No entiendo esta publicacion de mierda, donde estan los datos sobre cuánto tiempo tarda que es lo básico y las mil y un cosas ? por suerte satynade hizo TODO el trabajo, verguenza total esta web
Luvared
Un ordenador de casi 10.000 euros para que luego sólo genere 341 GH/s, cuando con un servidor para minar bitcoins de gama media puede hacer casi 5 TH/s, vamos, casi 15 veces más rápido, o esto es un poco publicidad para nvidia (cuando los AMD son mejores en cálculo matematico) o este tío tiene mucha pasta y le gusta fardar...
PD: adjunto el servidor en cuestión.
https://www.amazon.es/gp/product/B014OGCP6W/ref=as_li_ss_tl?tag=weusecoins06-21&ie=UTF8&me=&linkCode=sl1&linkId=d2a69f1fabdd718f0952ca43c4497cb8