La arquitectura interna de las GPU las hace mucho más efectivas para crackear contraseñas que ejecutar los procesos como tradicionalmente se ha venido haciendo sobre CPU. Recientemente en la conferencia Passwords^12 en Oslo, con un cluster formado por 25 GPU AMD Radeon y el software HashCat, se ha logrado llegar a crackear contraseñas complejas en unos tiempo hace poco inimaginables.

gpu

Nada mejor que comentar algunos datos de velocidad conseguidos por el sistema formado por un cluster de cinco servidores 4U, con 25 AMD Radeon y interconectados a través de Infiniband a 10Gbps para haceros una idea del tremendo potencial alcanzado.Este sistema corriendo HashCat ha alcanzado en los siguientes algoritmos la friolera de:

NTLM 348 mil millones de hashes por segundo
MD5 180 "
SHA1 63 "
LM 20 "

Estos datos hacen que los propios investigadores, Jeremy Gosney y su equipo, hayan declarado que obviamente tanto LM (que permite una longitud máxima de 15 caracteres pasándolos a mayúscula, lo que hace un máximo de 69 caracteres^7 en dos cadenas) como NTLM (del cual según las pruebas se puede crackear cualquier password de 8 caracteres en apenas 5 horas) son obsoletos ya que los tiempos de crackeo son asumibles (siempre y cuando se pueda disponer de un hardware como el de los investigadores)

Este equipo de investigadores ya puso en funcionamiento su diseño de cluster durante el reciente robo de cuentas en Linkedin, siendo uno de los primeros en crackear un número importante de los hashes y publicar estadísticas.

Aunque pueda parecer algo inalcanzable, si disponemos de una buena gpu en casa aunque no llegaremos nunca a estos valores, sin duda alcanzaremos resultados de millones de hashes por segundo y teniendo en cuenta que la mayoría de usuarios disponen de contraseñas débiles no deberíamos tener problemas en crackear un buen porcentaje de los mismos con algo de paciencia. Tampoco debemos olvidar la proliferación de servicios cloud de crackeo de contraseñas (la mayoría de pago) o la disponibilidad de tablas Rainbow que son otras alternativas a tener muy en cuenta.

Fuente