Una GeForce RTX 4090 podría estar descifrando tus contraseñas en este momento.
Las tarjetas gráficas más potentes son ideales para jugar, pero también pueden ayudar a descifrar contraseñas. Hive Systems, proveedor de soluciones de ciberseguridad, ha publicado la edición 2024 de su «Hive Systems Password Table» y algunos estudios adicionales que detallan cuánto tardan las distintas tarjetas gráficas Nvidia en descifrar una contraseña.
A diferencia de otros estudios en los que las empresas utilizaban IA para descifrar contraseñas, el enfoque de Hive Systems se basa en hashes. El hashing consiste en descifrar la contraseña en una enigmática combinación de letras y números. Los servidores almacenan las contraseñas en forma de hashes, de modo que incluso si un hacker roba la base de datos, sólo ve los hashes, y no la contraseña real. Los piratas informáticos juegan con distintas combinaciones de caracteres, les aplican hashes y los comparan con bases de datos robadas con hashes de contraseñas para buscar coincidencias.
Un ordenador es suficiente para realizar el hashing, pero las tarjetas gráficas, como la GeForce RTX 4090 de Nvidia o la A100, pueden acelerar el proceso sustancialmente. Hive Systems utilizó Hashcat, un software de hashing, para comparar el tiempo necesario para descifrar diferentes contraseñas. A diferencia de anteriores iteraciones de su investigación centradas en el hashing MD5, Hive System incluyó resultados con bcrypt, que es un algoritmo de hashing de contraseñas más complicado de descifrar que MD5.
| Graphics Card | Numbers Only | Lowercase Letters | Upper and Lowercase Letters | Numbers, Upper and Lowercase Letters | Numbers, Upper and Lowercase Letters, Symbols |
|---|---|---|---|---|---|
| GeForce RTX 2080 | Instantly | 6 Seconds | 24 Minutes | 2 Hours | 4 Hours |
| GeForce RTX 3090 | Instantly | 6 Seconds | 13 Minutes | 52 Minutes | 2 Hours |
| GeForce RTX 4090 | Instantly | 1 Seconds | 5 Minutes | 22 Minutes | 59 Minutes |
| A100 x 8 | Instantly | Instantly | 2 Minutes | 7 Minutes | 19 Minutes |
| A100 x 12 | Instantly | Instantly | 1 Minute | 5 Minutes | 12 Minutes |
| A100 x 10,000 (ChatGPT) | Instantly | Instantly | Instantly | Instantly | 1 Second |
Con la primera ronda de hashes de contraseñas MD5, Hive Systems utilizó una contraseña de ejemplo con ocho caracteres, siguiendo las directrices de contraseñas del NIST. Se trata de contraseñas complejas con mayúsculas, minúsculas, símbolos y números. Estos tiempos representan el mejor de los casos, ya que las contraseñas generadas de forma no aleatoria son más rápidas de descifrar.
Una GeForce RTX 4090, el actual buque insignia de Nvidia para juegos, puede descifrar la contraseña en menos de una hora. Mientras tanto, ocho A100 pueden lograr una hazaña similar en menos de 20 minutos. Algo como ChatGPT, que tiene acceso a decenas de miles de aceleradoras A100, puede descifrar la contraseña en un segundo.
| Graphics Card | Numbers Only | Lowercase Letters | Upper and Lowercase Letters | Numbers, Upper and Lowercase Letters | Numbers, Upper and Lowercase Letters, Symbols |
|---|---|---|---|---|---|
| GeForce RTX 2080 | 2 Hours | 4 Months | 92 Years | 375 Years | 989 Years |
| GeForce RTX 3090 | 17 Minutes | 4 Weeks | 18 Years | 72 Years | 189 Years |
| GeForce RTX 4090 | 9 Minutes | 2 Weeks | 9 Years | 38 Years | 99 Years |
| A100 x 8 | 2 Minutes | 2 Days | 2 Years | 7 Years | 17 Years |
| A100 x 12 | 1 Minute | 2 Days | 1 Year | 4 Years | 12 Years |
| A100 x 10,000 (ChatGPT) | Instantly | 3 Minutes | 11 Hours | 2 Days | 5 Days |
Con bcrypt, los tiempos de hashing se elevaron drásticamente. Mientras que la GeForce RTX 4090 solo tardó 59 minutos en descifrar un hash MD5, la misma tarjeta gráfica necesitaría 99 años. El tiempo pasa de 20 minutos a 17 años, incluso en ocho aceleradoras A100. La única forma sólida es recurrir a la ruta ChatGPT, pero eso implica que tienes una tonelada de dinero para alquilar clústeres de tarjetas gráficas de IA para llevar a cabo tus fechorías.
Aunque pueda sonar aterrador, no hay necesidad de entrar en pánico todavía. Para empezar, la investigación de Hive Systems asume que los hackers tienen acceso al hash, por ejemplo, a partir de brechas de datos significativas, como la de LastPass. Sin embargo, no siempre es así. El estudio también supone que la autenticación multifactor (MFA) no está activa o ha sido eludida en el ataque. En los tiempos que corren, deberías utilizar MFA para todos tus datos personales.
MD5 tiene más de 30 años, y muchas empresas se han pasado a algoritmos hash más robustos, como bcrypt o pbkdf2. Por tanto, no se trata sólo de tener una contraseña fuerte; la seguridad también depende de dónde se introduzca dicha contraseña.
