RTX 4090 chỉ mất 59 phút để đoán ra mật khẩu phức tạp 8 ký tự

Đó là kết quả nghiên cứu của Hive Systems. Bên cạnh việc dùng nghiên cứu và xử lý AI, hoặc tác vụ cơ bản nhất mà Nvidia tạo ra để RTX 4090 phục vụ người dùng là chơi điện tử ở chất lượng đồ họa đẹp nhất, mẫu card đồ họa giá 60 triệu Đồng này còn có sức mạnh phân tích và xử lý hàm băm để đoán mật khẩu tài khoản phức tạp ở tốc độ tương đối đáng nể.

Nhắc lại cách hàm băm và mật khẩu hoạt động để bảo vệ tài khoản của anh em. Để chống lại những kẻ dò mật khẩu hay các hacker, các trang web và dịch vụ trực tuyến (chí ít là gần như tất cả) đều không lưu trữ mật khẩu của anh em dưới dạng nguyên bản như khi anh em gõ lúc lập tài khoản. Dạng này gọi là plain text. Những cụm mật khẩu plain text này sẽ được các dịch vụ trực tuyến sử dụng hàm băm (hashing algorithm) để chuyển đổi thành những cụm ký tự phức tạp, dài ngoằng.

Hive Systems sử dụng vài hệ thống GPU với hàng nghìn, hàng trăm nghìn nhân CUDA để đánh giá tốc độ xử lý hàm băm, đoán mật khẩu, từ RTX 2080 đời cũ, cho tới sức mạnh của 10 nghìn card Nvidia A100 kết hợp lại, vốn chỉ được dùng xử lý những thuật toán nghiên cứu khoa học trong siêu máy tính, hoặc xử lý mô hình AI vận hành dịch vụ chatbot trong những data center đám mây.

Cùng lúc, hai hàm băm MD5 và bcrypt được đem ra so sánh về mức độ bảo mật. Kết quả tương đối cách biệt. Với bài thử nghiệm một cụm mật khẩu 8 ký tự, có hoặc không có những chi tiết như chữ in hoa, chữ số và ký tự đặc biệt, ở bài thử nghiệm khó nhất, RTX 4090 chỉ mất có 59 phút để dò ra mật khẩu được hàm băm MD5 xử lý. Con số này với 10 nghìn card A100 chỉ là 1 giây:

2024PasswordTable-MD5-1456x377.png

Bài thử nghiệm của Hive Systems mô tả tương đối rõ ràng cách biệt về mặt bảo mật giữa hai hàm băm MD5 và bcrypt. Cùng một đoạn mật khẩu có ký tự đặc biệt, có chữ số và chữ in hoa, RTX 4090 chỉ mất 59 phút với MD5. Nhưng với bcrypt, card đồ họa này ước tính phải mất 99 năm mới dò ra được mật khẩu. RTX 2080 thì mất gần 1 thiên niên kỷ mới làm xong:

2024PasswordTable-bcrypt-1456x387.png

Bài thử nghiệm này cho thấy sức mạnh điện toán của chip bán dẫn hiện giờ mạnh cỡ nào, và những hàm băm công nghệ mới bảo mật ra sao. Bản thân các doanh nghiệp và các đơn vị vận hành dịch vụ trực tuyến cũng không chỉ hoàn toàn phụ thuộc vào những hàm băm để bảo vệ mật khẩu và tài khoản của người dùng, họ còn ứng dụng vài lớp bảo mật khác, nên cách duy nhất tài khoản lộ ra là con người vô ý để lộ tài khoản, hoặc nhân sự doanh nghiệp bị lừa, click vào những mã độc để hacker chiếm quyền kiểm soát máy chủ doanh nghiệp.

Còn đối với chúng ta, có vài bài học kinh nghiệm có thể rút ra:

  • Password càng dài càng ngon. Dựa trên nghiên cứu của Terahash, bây giờ mật khẩu cứ 10 ký tự trở lên là ngon.
  • Password càng phức tạp càng ngon. Những chuỗi ký tự random là lựa chọn tốt nhất, và hãy đảm bảo có cả số, cả chữ thường chữ hoa, thi thoảng chêm vào một hai ký tự đặc biệt.
  • Ứng dụng quản lý mật khẩu hiện giờ có vẻ là lựa chọn tuyệt vời nhất để kiểm soát và quản lý mật khẩu cho từng tài khoản. Kể cả dịch vụ miễn phí cũng ngon.

Nguồn: Tinhte.vn