Grafikkarten knacken Passwörter

Mittlerweile verfügen Grafikkarten über derart massive Leistung, dass sie teilweise für Aufgaben eingesetzt werden, die früher CPUs vorbehalten blieben – etwa die Physikberechnung. Jene Leistung lässt sich allerdings zweckentfremden: So machen moderne GPUs das Knacken von sehr komplizierten Passwörtern möglich. Beispielsweise genügen eine Mittelklasse-Grafikkarte wie die AMD Radeon HD 5770 und das Tool „Ighashgpu“ um aggressiv Passwörter zu knacken. Wo eine CPU für ein NTLM-Login-Passwort wie „fjR8n“ im Programm „Cain & Abel“ 24 Sekunden benötigt, braucht die GPU weniger als eine Sekunde.

So kann die HD 5770 in weniger als einer Sekunde 3,3 Milliarden Passwörter durchspielen. Die CPU einer aktuellen Generation schafft in einer Sekunde nur 9,9 Millionen Passwörter. Der Leistungsvorsprung der GPU nimmt noch zu, wenn das Passwort komplexer wird: Bei 6 Zeichen, im Test „pYDbL6“, braucht die CPU anderthalb Stunden, um das korrekte Passwort zu finden. Die GPU hakt diese Aufgabe in vier Sekunden ab. Ab 7 Zeichen, „fh0GH5h“ im Test, rechnet die CPU vier Tage, während die HD 5770 nur 17 Minuten und 30 Sekunden benötigt, um das Passwort zu finden.

Selbst bei Passwörtern mit Symbolen und Leerzeichen, beispielsweise „F6&B is“, braucht die CPU zwar 75 Tage, die GPU aber nur überschaubare 7 Stunden.

Nur allzu leicht lässt sich heutzutage demnach so gut wie jedes Passwort knacken. Dies ist besonders für Firmen relevant. Doch wie soll in einem großen Unternehmen der Verantwortliche für die IT-Sicherheit das Management dazu bringen komplexe Passwörter wie „fR4; $sYu 29 @QwmQz“ zu verwenden, ohne dass diese Kombination ohnehin auf Notizzetteln zur Erinnerung neben dem Monitor klebt?

Beispiele wie die aktuellen und wiederholten Datendiebstähle bei Sony zeigen, dass Passwortsicherheit für Anwender wichtiger wird denn je. Doch herkömmliche Passwörter sind aufgrund der Rechenleistung moderner GPUs veraltet. Schade ist, dass Firmen wie Microsoft und Co. noch keine Lösung für dieses Problem gefunden haben, denn die Realität überholt die Firmen aktuell. Wer jedenfalls heute noch glaubt es gäbe soetwas wie ein absolut sicheres Passwort, lebt in der Vergangenheit.

Quelle: PCPro