У Amazon пояивлась новая услуга - доступ к распределенному кластеру на основе
GPU. Томас Рот, блоггер, занимающийсябезопасностью, решил проверить, насколько
быстро система может взломать хэш SHA-1. В результате за 49 минут у него
получилось вскрыть 14 паролей длиной от 1 до 6 знаков. "Это лишь очередной раз
доказывает, насколько устаревшей является система SHA-1", - пишет Рот. "Вам
действительно больше не стоит ей пользоваться". Рот поделился процессом в
этом посте. В комментариях он отмечает, что стоимость взлома паролей
варьировалась от 4 до 5 долларов.
Прошлым летом средства массовой информации начали сообщать о том, что
Elcomsoft было известно годами: распределенный GPU кластер – высокоэффективный
способ для взлома паролей.
Для взлома хэш-файла Рот использовал CUDA Multiforcer,
свободно-распространяемй брутфорсер паролей дляработы GPU, в связке с облачным
сервисом Amazon. Пароли, которые взломал Рот, были очень короткими, и пока нет
точной информации сколько времени занял бы взлом более длинных паролей.
Национальный институт стандартов и технологий в 2006 году рекомендовал
федеральным агентствам прекратить использование SHA-1 и перейти на SHA-2, однако
возникло опасение что слишком короткие пароли, шифрованные в SHA-2, будут не
менее уязвимы к подбору, чем в SHA-1.