GPUs knacken Passwörter in der Cloud

Der Kölner Blogger Thomas Roth hat mit Unterstützung von Amazons Service Elastic Compute Cloud (EC2) und der seit kurzem angebotenen "Cluster GPU Instances" (GPU-Modul Tesla M2050 von Nvidia) eine Textdatei mit 14 SHA1-Hashes in 49 Minuten per Bruteforce geknackt. Die Passwörter hatten eine Länge von 1-6 Zeichen. Die Details beschreibt Roth in seinem Blog.

Durch Amazons EC2 kann jedermann kurzfristig und für kleines Geld Rechnerkapazitäten anmieten, ohne zunächst in die Anschaffung der Hardware investieren zu müssen. Eine Stunde Rechenzeit hätte in der Konfiguration des Bloggers mit lediglich 2,10 US-Dollar zu Buche geschlagen. Bereits vor Einführung der GPU-Option war EC2 als effizientes Werkzeug für Passwortknacker bekannt.

Roths Demonstration ist eindrucksvoll, doch über seine Aussage, nach der man SHA1 nicht länger nutzen will, kann man trefflich streiten. So hat er lediglich relativ kurze Passwörter zurückberechnet, von denen man in der Praxis ohnehin Abstand nehmen sollte. Mit jedem zusätzlichen Zeichen schießt der Aufwand zum Brechen des Hashes exponentiell in die Höhe. Grundsätzlich sind längere Passwörter mit einer Mindestlänge von 12 Zeichen zu empfehlen. (rei)