25 GPUs: System analysiert Milliarden Passwörter in Sekunden

5. Dezember 2012, 12:48
53 Postings

Bei einer Sicherheitskonferenz in Oslo wurde das System demonstriert

Bei der Passwords^12 Konferenz in Oslo wurde wieder einmal bewiesen, wie rasant die Entwicklung vorangetrieben wird, wenn es um das Knacken von Passwörtern geht. Besonders durch Cloud Computing gibt es große Entwicklungssprünge in der Passwort-Entschlüsselung. 

Erweiterungen

Wie das Sicherheitsportal Security Ledger berichtet, zeigte der Sicherheitsexperte Jeremi Gosney eine Ausstattung, die mit dem Open Computing Language Framework und einem Virtual Open Cluster arbeitet. Zum Einsatz kommt das Programm HashCat, das auf einem Cluster aus fünf 4U Servern mit 25 AMD Radeon GPUs läuft. Das Virtual Open Cluster musste erweitert werden, um Funktionen einzuführen, die es erlauben, HashCat zum Laufen zu bringen. 

VMware beschränkt

Zuvor hatte Gosney mit VMware gearbeitet, konnte aber dort nicht das gewünschte Ergebnis erzielen, da VMWare beschränkt ist, wenn es um die Nutzung aller Cluster-Komponenten geht: "Wenn man fünf VMware ESX Hosts mit acht Prozessorkernen hat, will man eine virtuelle Maschine mit 40 Kernen nutzen". Nachdem Gosney den Entwickler von Virtual Open Cluster kontaktiert hat und ihn überzeugen konnte ihm zu helfen, machte er sich an die Arbeit.

Sekunden

Dieses System kann demnach sogar starke bzw. bislang als sicher geltende Passwörter knacken, die mit schwächeren Verschlüsselungsalgorithmen, wie Microsofts Lan Manager und NTLM verschlüsselt wurden. In einem Test gelang es 384 Milliarden NTLM Passwörter pro Sekunde durchzugehen. Ein 14 Zeichen langes mit NLTM gehashtes Password (alphanumerisch) würde damit in sechs Minuten geknackt werden. 

Gosney nicht unbekannt

Laut Gosney würde sich dieses GPU Cluster allerdings besser für Offline- als Online-Attacken eignen, beispielsweise bei einer Sammlung von gestohlenen Passwörtern die in verschlüsselter Form vorliegen. Gosney hat seit April an dem System gearbeitet, er war zuvor unter anderem bei der Analyse der gestohlenen LinkedIn-Passwörter beteiligt. (red, derStandard.at, 5.12.2012)

  • Bild nicht mehr verfügbar

    "In Windows XP sind Passwörter nicht sicher", so Gosney

Share if you care.