ที่ประชุมวิชาการ Password^12 บริษัท Stricture Consulting Group ได้นำเสนอการสร้างคลัสเตอร์ GPU เจาะรหัสผ่าน NTLM ทุกรูปแบบที่เป็นไปได้ของตัวอักษรเล็ก/ใหญ่, ตัวเลข, และสัญลักษณ์ที่ความยาวไม่เกิน 8 อักขระ ได้ในเวลาเพียง 5.5 ชั่วโมงเท่านั้น
หัวใจของโครงการนี้คือ VCL ที่สร้างให้ลินุกซ์ที่รันแอพพลิเคชั่น OpenCL สามารถรันบนคลัสเตอร์ได้เหมือนรันบนเครื่องเดียวกัน มีข้อจำกัดเพียงแค่เครื่องหลักต้องมีหน่วยความจำมากๆ กับเน็ตเวิร์คต้องมี latency ต่ำๆ เท่านั้น
ปัญหาของ NTLM คือ มันเป็นอัลกอริทึมแฮชที่ทำงานได้เร็วเกินไป คลัสเตอร์ที่ใช้การ์ดกราฟิก 25 คอร์สามารถแฮชไดถึง 350 พันล้านแฮชต่อวินาที ขณะที่อัลกอลิทึมที่ช้าๆ เช่น bcrypt สามารถทำได้เพียง 71,000 แฮชต่อวินาทีเท่านั้น
ผลของความเร็วในการแฮชทำให้ทีมวิจัยสามารถแฮชรหัสผ่า นทุกรูปแบบที่เป็นไปได้ของ NTLM จำนวน 95^8 กรณีได้ในเวลาเพียง 5.5 ชั่วโมง
แม้การอัลกอริทึมการแฮชส่วนมากจะมีขนาดแฮชใหญ่พอ (เช่น SHA512 มี 512 บิต) แต่รหัสผ่านที่คนกำหนดจริงมักไม่ใหญ่ขนาดนั้น ฟังก์ชั่นแฮชที่ทำงานได้เร็วจะทำให้แฮกเกอร์สามารถค้ นหาค่าแฮชทุกค่าที่เป็นไปได้ภายใต้ความยาวที่กำหนดแล ะย้อนกลับมาเป็นรหัสผ่านในกรณีที่รู้ค่าแฮช เช่น กรณีฐานข้อมูลรั่วไหล หรือกระทั่งถูกโจมตีโดยผู้ดูแลระบบ หรือผู้ดูแลข้อมูลสำรองที่อาจจะเห็นค่าแฮชเองได้ มาตรฐานการแฮชรหัสผ่านจึงต้องใช้ฟังก์ชั่นแฮชตระกูล crypt เช่น bcrypt, sha512crypt, หรือ PBKDF2
ที่มา - ArsTechnica, Password^12 (PDF)


อ่านต่อ...