Rekorde im Passwort-Knacken durch Riesen-GPU-Cluster
Auf der Password^12 Konferenz wurde ein GPU-Cluster vorgestellt, der dem Passwort-Cracker Hashcat 14 Grafikkarten zur VerfĂĽgung stellte.
- Olaf Göllner
Jeremi Gosney präsentierte (PDF-Datei) auf der Konferenz Passwords^12 seinen GPU-Cluster, mit dem es ihm gelang, 180 Milliarden MD5-Hashes pro Sekunde zu prüfen. Bei SHA1 waren es immer noch beeindruckende 63 Milliarden Hashes pro Sekunde. Aufwändigere Hashing-Algorithmen können einer solchen (BruteForce-)Attacke sehr viel besser widerstehen. Bcrypt und Sha512crypt ermöglichten nur 71.000 beziehungsweise 364.000 Kombinationen pro Sekunde.
Spitzenwerte erreichte Gosney bei den LM- und NTLM-Hashes, welche auf alte Windows-Versionen zur Authentifizierung verwenden und aus Gründen der Abwärtskompatiblität auch von Windows 8 und Windows Server 2012 unterstützt werden. Bei 348 Milliarden NTLM-Kombinationen pro Sekunde ist ein acht Zeichen langes Passwort somit in weniger als 6 Stunden geknackt. Bei dem schwächeren LM-Hashes aus Windows-NT-Zeiten sind es bei 20 Milliarden Kombinationen pro Sekunde gerade einmal 6 Minuten für ein starkes Passwort mit 14 Zeichen Länge.
Bemerkenswert ist der Aufbau des GPU-Clusters. Die eingesetzte Software besteht aus Virtual OpenCL für den Cluster und Hashcat als Passwort-Knacker. Beide Softwareprodukte wurden extra für diese Demonstration modifiziert und unterstützen nun in der aktuellen Version bis zu 128 GPUs. Konkret wurden fünf 4U Server mit insgesamt 14 Grafikkarten im Verbund über Infiniband-Verbindungen verwendet. Sieben Kilowatt sind nötig, um den Cluster mit Strom zu versorgen.
Ein solches System ist jedoch nicht für ein Echtzeit-Angriffsszenario gegen einen Server geeignet. Vielmehr werden sie gegen bereits gesammelte verschlüsselte Passwörter eingesetzt. So machte sich Gosney einen Namen, als circa 6,5 Millionen LinkedIn-Passwörter durch ein Sicherheitslücke erbeutet wurden. Er gehörte zu den ersten Sicherheitsexperten, die in der Lage waren diese Daten erfolgreich zu analysieren. Zusammen mit einem Partner gelang es ihm, über 90% der Passwörter zu rekonstruieren.
Generell ist Passwortklau ein häufiges Problem, mit dem Online-Dienste konfrontiert werden. Zudem sind viele Hashing-Algorithmen in die Jahre gekommen und sollten nicht länger verwendet werden. Die Rechenleistung von GPUs rückt dabei immer mehr in den Fokus der Passwort-Cracker. So gibt es inszwischen auch diverse Cloud-Dienste, welche für solche Datenanalysen gemietet werden können. (ogo)