Хакер #305. Многошаговые SQL-инъекции
Новая версия John the Ripper 1.7.9-jumbo-6 поддерживает работу на графических ускорителях (CUDA и OpenCL) для подбора паролей и генерации так называемых «медленных» хэшей, которые требуют значительных вычислительных ресурсов. Среди прочих, это sha256crypt, sha512crypt (используется Fedora и Ubuntu), bcrypt (используется в OpenBSD), зашифрованные RAR-архивы и WiFi WPA-PSK.
По результатам тестирования, например, NVIDIA GTX 570 демонстрирует в пять раз бóльшую производительность при генерации хэшей sha512crypt, чем центральный процессор AMD FX-8120. правда, не всегда разница настолько впечатляющая. Так, топовая видеокарта AMD Radeon HD 7970 на хэшах bcrypt едва достигает показателей CPU. Этот факт демонстрирует, что в данный момент bcrypt можно считать более предпочтительным вариантом, чем sha512crypt, а уж тем более sha256crypt, то есть имеет смысл использовать именно bcrypt как алгоритм хэширования паролей в операционных системах, приложениях и на веб-сайтах.
В John the Ripper 1.7.9-jumbo-6 добавлена поддержка разных экзотических алгоритмов, в том числе российского криптографического стандарта ГОСТ Р 34.11-94, а также хэшей для IBM RACF, DragonFly BSD, Django 1.4, Drupal 7 $S$ phpass-like, WoltLab Burning Board 3, EPiServer, MD4 в «динамических» хэшах, Raw-SHA1-LinkedIn (SHA-1 с первыми 20 битами в нулях).
Другие поддерживаемые шифры (не хэши): связки ключей Mac OS X, файлы KeePass 1.x, Password Safe, файлы ODF, документы Office 2007/2010, мастер-пароли Mozilla Firefox, Thunderbird, SeaMonkey.
Некоторые из перечисленных алгоритмов вычисляются на CUDA, почти все — на OpenCL. Подробнее о поддержке GPU, а также многочисленные бенчмарки см. здесь.
Новую версию John the Ripper можно скачать по старому адресу: http://www.openwall.com/john/.