GPU-Passwort-Cracking – auch sichere Windows-Passwörter mit Grafikkarte schnell geknackt

Passwort-Cracking mit der Grafikkarte - ighashgpuPasswortsicherheit ist ein lästiges Thema: Aus IT-Sicht sollten Passwörter möglichst lang und und mit Sonderzeichen versehen sein, aus Endanwendersicht hingegen möglichst kurz, einfach zu merken und dauerhaft gültig. Nicht umsonst zählen Passwort-bezogene Probleme zu den häufigsten Supportanfragen. Doch die Notwendigkeit für starke, komplexe Passwörter nimmt im Zuge immer leistungsfähigerer PC-Hardware rapide zu, wie Vijay Devakumar in einem Blogbeitrag darlegt: Die Entschlüsselung mit Unterstützung der immer leistungsfähigeren Prozessoren auf Grafikkarten (GPU) dauert oft nur noch wenige Sekunden.

Er führt im Rahmen einer kleinen Testreihe vor, wie schnell sich Passwörter einer bestimmten Länge anhand einer Bruteforce-Attacke ermitteln lassen. Die Ergebnisse sind beunruhigend: Ein Windows-Passwort mit 5 Zeichen wurde mit dem Cracker-Tool “ighashgpu”, das die Recheneinheit einer handelsüblichen Radeon 5770 benutzt, in weniger als einer Sekunde entschlüsselt. Ermittelt wurde dabei der NTLM-Hash, jene gut verschlüsselte Zeichenkette, die aus einem Windows-Passwort generiert und im System hinterlegt wird. Im Vergleich dazu benötigte das Tool “Cain & Abel”, das mit dem herkömmlichen Prozessor rechnet, ganze 24 Sekunden. Der nächste Versuch mit einer Passwortlänge von 6 Zeichen dauerte 4 Sekunden, das CPU-Tool verschwendet hier schon 1 Stunde 30 Minuten. Bei 7 Zeichen sind es mit ighashgpu 17 Minuten, bei 8 Zeichen 18 Stunden und bei 9 Zeichen 48 Tage, was auch noch überschaubar ist.

Bei seinen Tests fand er heraus, dass man mit komplexen alphanumerischen Zeichenketten die Einbruchszeit deutlich verlängern kann. So würde das Knacken des 9-Zeichen-Passworts “H<k7$6fVJ” mit ighashgpu immerhin 7 Jahre dauern. Nur: Wer kann sich so eine Phrase schon merken?

Fakt ist jedenfalls, dass mit der Verbreitung dieser Techniken die Sicherheit passwortgeschützter Benutzerkonten neu zu bewerteten ist.

In folgendem Youtube-Video führt Vijay übrigens den Ablauf seines Crack-Tests vor:

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.

*



*