Mi è stato indicato un post sul blog che parlava dell'uso di Processori GPU per lanciare attacchi di forza bruta alle password. Le GPU sono estremamente buone con questo tipo di carico di lavoro, e il rapporto prezzo/prestazioni è cambiato radicalmente negli ultimi anni. Ciò che poteva sembrare impossibile anche 36 mesi fa è ora perfettamente realizzabile sul tuo computer desktop.
In questo rapporto, l'autore prende una scheda grafica Radeon 5770 abbastanza standard (la troverete nella nostra A-List sotto Value Graphics Card) e utilizza uno strumento gratuito chiamato ighashgpu per eseguire gli strumenti di cracking delle password a forza bruta sul GPU. Per fornire un punto di confronto con le capacità di una CPU desktop standard, utilizza uno strumento chiamato "Cain & Abel".
I risultati sono sorprendenti. Funzionando contro le password di accesso NTLM, una password di "fjR8n" può essere violata sulla CPU in 24 secondi, a una velocità di 9,8 milioni di tentativi di password al secondo. Sulla GPU ci vuole meno di un secondo ad una velocità di 3,3 miliardi di password al secondo.
Aumentando la password a 6 caratteri (pYDbL6) la CPU impiegherà 1 ora e 30 minuti contro i soli quattro secondi della GPU. Se si arriva oltre a 7 caratteri (fh0GH5h), la CPU durerà 4 giorni, contro i 17 minuti e 30 secondi francamente preoccupanti della GPU.
Un manager IT riuscirà davvero a convincere il CFO ad accedere utilizzando “fR4; $sYu 29 @QwmQz” senza che la combinazione finisse su un post-it nel suo portafoglio?
Ora, non riesco a immaginare nessuno che riesca a imporre a un'organizzazione una password di nove caratteri, maiuscole e minuscole e caratteri casuali. Ma se lo facessi, e non fossi appeso a un albero entro la fine del primo giorno lavorativo, la CPU impiegherebbe 43 anni contro i 48 giorni della GPU.
Ha poi aggiunto simboli misti per creare "F6&B is" (c'è uno spazio lì dentro). La CPU impiegherà 75 giorni, la GPU impiegherà 7 ore.
Cosa ci dice questo? beh, la cruda realtà è che anche le password lunghe e complesse sono ormai inutili. Se pensi di essere stato saggio obbligando gli utenti ad avere la randomizzazione nelle loro password, ripensaci. È assolutamente inutile.
Sì, puoi forzare i tuoi utenti ad avere una password di 15 caratteri composta da numeri e lettere casuali e inserire anche la punteggiatura. Questa è un'ottima idea, ma sappiamo che la maggior parte degli utenti pensa che una password come "Barry1943Manilow", dove 1943 è l'anno in cui è nato, sia complessa e difficile da ricordare. Un manager IT riuscirà davvero a convincere il CFO ad accedere utilizzando “fR4; $sYu 29 @QwmQz” senza che la combinazione finisse su un post-it nel suo portafoglio? O bloccato al lato dello schermo? Perché qualsiasi cosa molto meno di questa sarà esposta ad attacchi nei prossimi anni.
Una GPU del tipo utilizzato da questo ragazzo non è insolita o di fascia alta. È roba standard. In effetti, ho appena assistito alla presentazione di AMD qui al Computex di Taiwan, e hanno fatto un grande successo accordo per mettere la potenza della GPU nei netbook che offrono 500 Gflops, senza intaccare la batteria da 12 ore vita. E la spedizione avverrà entro pochi mesi.
Tutto quello che posso dire è questo: sei stato avvisato. È tempo di pensare a lungo e intensamente alla sicurezza delle password e al modo in cui esegui l'autenticazione. Questo si è insinuato in noi in sottofondo e in realtà non abbiamo prestato attenzione. Né Microsoft, francamente, dovrebbe avere tutta una serie di soluzioni alternative e rafforzate pronte per essere implementate dai suoi clienti aziendali.
Quali sono le soluzioni? Ad essere onesti, non ne sono sicuro. Sarà necessaria una combinazione di TPM, dati biometrici, password e forse qualcos’altro di completamente nuovo. Ma è chiaro che una password complessa che gli utenti accetteranno effettivamente per l’autenticazione quotidiana e manterranno segreta, potrebbe essere acqua passata.
