Новые мощные видеокарты вроде Nvidia RTX 5090 представляют серьёзную угрозу для пользователей со слабыми паролями. Исследование Hive Systems, компании в сфере кибербезопасности, показало, насколько быстро даже одна такая видеокарта справляется с простыми комбинациями: 8-значный пароль, состоящий только из цифр, она способна подобрать методом перебора всего за три часа.
Далее исследователи рассмотрели более реалистичный сценарий: оценили возможности предполагаемого злоумышленника, использующего мощное, но доступное на рынке оборудование. В качестве аппаратной основы для взлома они взяли систему из двенадцати ускорителей RTX 5090 (ориентировочной стоимостью около $30 000). Именно для такой установки Hive Systems рассчитала время подбора паролей разной длины и сложности.
Результаты для системы из 12 карт впечатляют: 8-значная комбинация из случайных строчных букв поддаётся взлому за три недели. Если же используется слово из словаря или комбинация, утёкшая ранее, подбор происходит практически мгновенно. Восьмизначные пароли до сих пор остаются стандартным минимумом на многих сайтах, что делает их крайне уязвимыми для подобных атак. Усложнение комбинации (добавление прописных букв, символов) продлевает время подбора на месяцы и годы даже с использованием мощной установки из 12 карт, но не гарантирует полной безопасности.
Возможности систем искусственного интеллекта усугубляют ситуацию. По оценкам Hive Systems, оборудование, на котором обучался ChatGPT-3, могло бы подобрать 8-значный пароль из строчных букв за час, а оборудование для ChatGPT-4 — за 43 минуты. Сложный 8-значный пароль (цифры, разный регистр, символы) такая система способна вскрыть примерно за два месяца.
Исследователи также рассмотрели пример с утечкой данных LastPass в 2022 году. Для некоторых старых учётных записей использовалось малое число раундов хеширования (итераций), из-за чего пароли оказались слабо защищены. Мощные системы на базе современных GPU или ИИ-ускорителей могли бы относительно быстро подобрать многие из этих комбинаций.
Для защиты своих данных эксперты рекомендуют использовать длинные (16 символов и более), сложные и случайные пароли, сгенерированные и сохранённые с помощью менеджера паролей. Необходимо также включать двухфакторную аутентификацию везде, где это возможно, отдавая предпочтение аппаратным ключам. Наиболее надёжной альтернативой паролям сегодня считаются ключи доступа (passkeys), которые устойчивы к перебору и фишингу.
