Pensate di avere una password sicura? La RTX 4090 la buca in 1 ora

Basta una RTX 4090 per bucare una password in meno di un'ora. E no, non parliamo di cose come "password", ma di chiavi complesse.

Avatar di Marco Pedrani

a cura di Marco Pedrani

Caporedattore centrale

Hive Systems, un fornitore di soluzioni di cybersicurezza, ha pubblicato l'edizione 2024 del "Hive Systems Password Table", accompagnandola con studi che mostrano il tempo impiegato a bucare una password sfruttando diverse GPU NVIDIA. L'aspetto interessante è che lo studio prende in considerazione anche password complesse, composte da numeri, simboli e lettere sia maiuscole che minuscole, non solo parole, o stringhe di numeri. 

A differenza di altri studi, che sfruttando l'IA per bucare le password velocemente, Hive Systems sfrutta un sistema basato su hash. L'hashing trasforma la password in una serie criptica di lettere e numeri, di modo anche nel caso in cui venga rubato un database di un server, i malintenzionati debbano decriptarla per poterla usare. 

Questo processo può essere svolto da qualsiasi computer, ma richiede tantissimo tempo. È qui che entrano in gioco le schede grafiche, che accelerano di parecchio il processo. Hive Systems ha utilizzato Hashcat, un noto software di hashing, per stabilire i tempi necessari a decifrare password diverse; nello studio sono inclusi anche i risultati relativi a bcrypt, un algoritmo di hashing più difficile da bucare rispetto a MD5. 

Quel che emerge relativamente a MD5 è sorprendente: una RTX 4090 può decifrare una password  complessa in meno di un'ora, mentre otto acceleratori grafici A100 impiegano meno di 20 minuti. Nell'ipotetico scenario in cui siano disponibili 10.000 A100 (la potenza hardware che muove ChatGPT), questa password sarebbe violata in 1 secondo. 

Scheda grafica Solo numeri Lettere minuscole Lettere maiuscole e minuscole Lettere maiuscole e minuscole, numeri Lettere maiuscole e minuscole, numeri e simboli
GeForce RTX 2080 Istantanea 6 secondi 24 minuti 2 ore 4 ore
GeForce RTX 3090 Istantanea 6 secondi 13 minuti 52 minuti 2 ore
GeForce RTX 4090 Istantanea 1 secondo 5 minuti 22 minuti 59 minuti
A100 x 8 Istantanea Instantly 2 minuti 7 minuti 19 minuti
A100 x 12 Istantanea Instantly 1 minuti 5 minuti 12 minuti
A100 x 10.000 (ChatGPT) Istantanea Istantanea Istantanea Istantanea 1 secondo

Per fortuna, bcrypt rende il lavoro molto più difficile: la stessa password verrebbe scovata da una RTX 4090 in 99 anni, tempo che scende a 17 anni con l'uso di 8 acceleratori NVIDIA A100. 

Lo studio sottolinea l'urgenza di adottare misure di sicurezza più robuste, come algoritmi di hashing avanzati, per proteggere al meglio password e altre informazioni sensibili. La ricerca di Hive Systems suppone che gli aggressori abbiano accesso agli hash da grandi violazioni di dati, ma ricorda anche che questa non è sempre la condizione in cui si trovano i malintenzionati. Inoltre, l'integrazione dell'autenticazione a più fattori (MFA) può significativamente aumentare la sicurezza, anche se non è immune da attacchi di phishing.

Nonostante l'MD5 sia considerato superato e sostituito da algoritmi più sicuri come bcrypt o pbkdf2, il messaggio fondamentale è che una password forte, sebbene cruciale, rappresenta solo una parte della soluzione. La sicurezza delle informazioni dipende anche dalle pratiche adottate dai fornitori di servizi, che devono mantenersi aggiornati sull'evoluzione degli algoritmi di hashing e degli strumenti di protezione.

Leggi altri articoli