最高級のグラフィックカードはゲームに最適ですが、パスワードの解読にも役立ちます。サイバーセキュリティソリューションプロバイダーのHive Systemsは、2024年版のHive Systemsパスワードテーブルと、様々なNvidiaグラフィックカードがパスワードを解読するのにかかる時間を詳細に調査した追加調査を発表しました。
AIを用いてパスワードを解読した他の研究とは異なり、Hive Systemsのアプローチはハッシュに基づいています。ハッシュとは、パスワードを文字と数字の謎めいた組み合わせにスクランブルすることです。サーバーはパスワードをハッシュの形で保存するため、ハッカーがデータベースを盗んだとしても、見えるのはハッシュであって、実際のパスワードではありません。ハッカーは様々な文字の組み合わせを試し、ハッシュ化し、盗んだデータベースのパスワードハッシュと比較することで、一致するものを探します。
スワイプして水平にスクロールします
| グラフィックカード | 数字のみ | 小文字 | 大文字と小文字 | 数字、大文字、小文字 | 数字、大文字と小文字、記号 |
|---|---|---|---|---|---|
| GeForce RTX 2080 | 即座に | 6秒 | 24分 | 2時間 | 4時間 |
| GeForce RTX 3090 | 即座に | 6秒 | 13分 | 52分 | 2時間 |
| GeForce RTX 4090 | 即座に | 1秒 | 5分 | 22分 | 59分 |
| A100 x 8 | 即座に | 即座に | 2分 | 7分 | 19分 |
| A100 x 12 | 即座に | 即座に | 1分 | 5分 | 12分 |
| A100 x 10,000 (チャットGPT) | 即座に | 即座に | 即座に | 即座に | 1秒 |
Hive Systemsは、最初のMD5パスワードハッシュでは、NISTパスワードガイドラインに従い、8文字のサンプルパスワードを使用しました。ここでは、大文字、小文字、記号、数字を組み合わせた、より複雑なパスワードに焦点を当てます。ランダムに生成されていないパスワードは解読が速いため、時間は最良のシナリオです。
Nvidiaの現在のゲーミングフラッグシップであるGeForce RTX 4090は、1時間以内にパスワードを解読できます。一方、8基のA100は20分未満で同様の成果を達成できます。数万基のA100アクセラレータにアクセスできるChatGPTのようなマシンは、1秒でパスワードを解読できます。
スワイプして水平にスクロールします
| グラフィックカード | 数字のみ | 小文字 | 大文字と小文字 | 数字、大文字、小文字 | 数字、大文字と小文字、記号 |
|---|---|---|---|---|---|
| GeForce RTX 2080 | 2時間 | 4ヶ月 | 92年 | 375年 | 989年 |
| GeForce RTX 3090 | 17分 | 4週間 | 18歳 | 72年 | 189年 |
| GeForce RTX 4090 | 9分 | 2週間 | 9年 | 38年 | 99年 |
| A100 x 8 | 2分 | 2日間 | 2年 | 7年 | 17年 |
| A100 x 12 | 1分 | 2日間 | 1年 | 4年 | 12年 |
| A100 x 10,000 (チャットGPT) | 即座に | 3分 | 11時間 | 2日間 | 5日間 |
bcryptを使用すると、ハッシュ処理時間は飛躍的に増加しました。GeForce RTX 4090ではMD5ハッシュの解読にわずか59分しかかかりませんでしたが、同じグラフィックスカードでは99年かかりました。A100アクセラレータを8基搭載した場合でも、時間は20分から17年にまで増加します。唯一確実な方法はChatGPTを使うことですが、そのためにはAIグラフィックスカードクラスターをレンタルして悪事を働くための莫大な資金が必要になります。
恐ろしく聞こえるかもしれませんが、まだパニックになる必要はありません。まず、Hive Systemsの調査では、ハッカーがHaveIBeenPwnedやLastPassといった大規模なデータ侵害からハッシュにアクセスできると想定しています。しかし、必ずしもそうとは限りません。また、この調査では、多要素認証(MFA)が有効になっていないか、攻撃時にバイパスされていると想定しています。現代では、機密性の高いデータを扱う際にはMFAを使用するべきです。攻撃者は被害者に対してフィッシング攻撃を仕掛けることもできるため、MFAは万全ではありませんが、二重の保護層を追加します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
MD5は30年以上前に登場し、多くの企業はbcryptやpbkdf2といったより堅牢なハッシュアルゴリズムに移行しています。つまり、強力なパスワードを使用するだけでなく、相手側のセキュリティも重要です。サービスプロバイダーが適切なセキュリティ対策を講じ、最新のハッシュアルゴリズムを常に把握していれば、NIST準拠の8文字のパスワードであっても解読は困難です。
Zhiye Liuは、Tom's Hardwareのニュース編集者、メモリレビュアー、そしてSSDテスターです。ハードウェア全般を愛していますが、特にCPU、GPU、そしてRAMには強いこだわりを持っています。
