Pourquoi c’est important : Sam Croley, chercheur en sécurité et crackeur de mots de passe, a publié des benchmarks mettant en évidence le pouvoir de crackage des mots de passe du RTX 4090. Le nouveau GPU phare de Nvidia a brisé les précédents records de référence du RTX 3090 et doublé les performances de presque tous les algorithmes testés. Les mots de passe piratés respectaient les meilleures pratiques de sécurité et incluaient des cas de lettres, des symboles et des chiffres aléatoires.
Selon Croley», le gigantesque GPU a été testé avec le protocole d’authentification bien connu New Technology LAN Manager (NTLM) de Microsoft ainsi qu’avec la fonction de piratage de mot de passe Bcrypt. Tous les tests ont été effectués avec Hashcat v6.2.6 en mode benchmark. Hashcat est un outil de craquage de mots de passe bien connu et largement utilisé par les administrateurs système, les professionnels de la cybersécurité et les cybercriminels pour tester ou deviner les mots de passe des utilisateurs.
Première @hashcat repères sur le nouveau @nvidia RTX 4090 ! Arrive à une augmentation insensée> 2x par rapport au 3090 pour presque tous les algorithmes. Facilement capable d’établir des records : 300 GH/s NTLM et 200 kh/s bcrypt avec OC ! Merci à blazer pour la course. Benchmarks complets ici : https://t.co/Bftucib7P9 pic.twitter.com/KHV5yCUkV4
— Chick3nman » (@ Chick3nman512) 14 octobre 2022
Sur la base des résultats de référence, une plate-forme de hachage de mot de passe entièrement équipée avec huit GPU RTX 4090 aurait la puissance de calcul nécessaire pour parcourir les 200 milliards d’itérations d’un mot de passe à huit caractères en 48 minutes. Le résultat en moins d’une heure est 2,5 fois plus rapide que le précédent record du RTX 3090. Les deux mesures de référence ont été effectuées en utilisant uniquement du hardware GPU et des logiciels associés disponibles dans le commerce.
Le logiciel Hashcat fournit plusieurs types d’attaques conçues pour faciliter l’assistance à la récupération de mot de passe ou, selon l’utilisateur, l’accès non autorisé aux comptes d’autrui. Ces types d’attaques incluent les attaques par dictionnaire, les attaques par combinateur, les attaques par masque, les attaques basées sur des règles et les attaques par force brute.
De nombreuses attaques disponibles dans Hashcat et d’autres outils de piratage de mots de passe peuvent bénéficier de comportements humains prévisibles qui entraînent souvent de mauvaises pratiques de sécurité. Par exemple, une attaque peut d’abord se concentrer sur des mots, des termes ou des modèles bien connus dans le but de minimiser le temps nécessaire pour déchiffrer le mot de passe de l’utilisateur. L’utilisation de ces types de listes et de données dans l’attaque peut réduire le temps nécessaire pour déchiffrer un mot de passe de 48 minutes à quelques millisecondes.
Bien que les résultats de référence puissent sembler inquiétants, il est important de noter que l’approche peut n’avoir qu’un ensemble limité de cas d’utilisation réels. Le directeur de l’exploitation de MIRACL, Grant Wyatt, a déclaré à ITPro.com que ces types d’attaques sont généralement relégués aux actifs hors ligne en raison des outils, des pratiques et des configurations de sécurité en ligne.