8文字のパスワードを5時間半で解析するGPUクラスタ

昨年の記事ですが、GPUを束ねてパスワード解析。
　→　8文字の全パスワードを5時間半で解析するコンピュータクラスタが登場 - CNET Japan


特別な機材、ソフトウェアは使っていません。


GPUクラスタの能力

　・ Radeon（計25枚）を搭載した5台のPCから成る
　・ バーチャルOpenCLで仮想化し、25枚のRadeonを束ねる
　・ 解析にはフリーのoclHashcat-plusを使用
　・ 1秒間に3500億通りをチェック
　・ 5.5時間稼働させると、試せるパターンは　
　　　6,930,000,000,000,000（6930兆）通り



バーチャルOpenCLで、仮想的に超強力なGPUを構築しているのがみそです。



8桁のパスワードのパターン数

　・ 使用文字数を95文字（半角スペース含）とし、8桁であれば95の8乗通り
　　　

　・ 95の8乗は
　　　6,634,204,312,890,620 （約6634兆）通り

5.5時間で6930兆通りを試せるので、総当たりで解析可能ということになります。
（総当たり対策として、パスワードロックなど他の防御手段も講じられています）



2009年のIPAは62文字8桁に太鼓判

印象深いのはIPA（情報処理推進機構）の2008年の記事です。
　→　情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（2008年9月分および第3四半期）

ここで “強いパスワードとは” と題して、62文字8桁のパスワードに太鼓判を押しています。

　62の8乗　218,340,105,584,896（218兆通り）

このときの試算では 約50年かかる となっていました。




ところが、上記のシステムであれば、11分足らずで解読されることになります。当時は妥当な強度だったので「IPAの見通しが甘い」というのとはちょっと違うとは思いますが、劇的な環境の変化です。

ここ最近はちょっと鈍ってますが、まだまだGPU性能は伸びています。クラウドによるパフォーマンスのレンタルもはじまっていますし、10桁でも足りない時代が遠からず訪れそうです。


無線LANで使われているWPAのクラックなども話題になっています。
要注意ですね。



関連
　→　改ざん攻撃はこう防げ！Webサイトの正しい守り方 - 第2回　いつも基本はパスワード管理：ITpro
　→　本当は怖いパスワードの話 － ＠IT

クラック
　→　WindowsのパスワードはGPUを25個使えば約6分から6時間で突破が可能、毎秒3500億通りもの総当たりが可能な方法とは？ - GIGAZINE
　→　Windows上でもPDFファイルのパスワードを総当たりで解析できるフリーソフト「PDFCrack」 - GIGAZINE

WPAクラックのPyrit
　→　無線LANのWPA/WPA2-PSKを総当たりで突破する「Pyrit」の実際の解析速度と自衛手段について - GIGAZINE
　→　無線LANのWPA/WPA2-PSKをGPUで超高速解析してパスワードを見つけるフリーのオープンソースソフト「Pyrit」 - GIGAZINE
　→　WPA password recovery and audit tool. GPU accelerated.
　→　WPA/WPA2-PSKのパスワードを超高速で発見できるソフト「Pyrit」 - 【チラシの裏.net】

　→　数値単位変換 - 1ミリオンは何万？を解決するサイト