Hive Systems, un fornitore di soluzioni di cybersicurezza, ha pubblicato l'edizione 2024 del "Hive Systems Password Table", accompagnandola con studi che mostrano il tempo impiegato a bucare una password sfruttando diverse GPU NVIDIA. L'aspetto interessante è che lo studio prende in considerazione anche password complesse, composte da numeri, simboli e lettere sia maiuscole che minuscole, non solo parole, o stringhe di numeri.
A differenza di altri studi, che sfruttando l'IA per bucare le password velocemente, Hive Systems sfrutta un sistema basato su hash. L'hashing trasforma la password in una serie criptica di lettere e numeri, di modo anche nel caso in cui venga rubato un database di un server, i malintenzionati debbano decriptarla per poterla usare.
Questo processo può essere svolto da qualsiasi computer, ma richiede tantissimo tempo. È qui che entrano in gioco le schede grafiche, che accelerano di parecchio il processo. Hive Systems ha utilizzato Hashcat, un noto software di hashing, per stabilire i tempi necessari a decifrare password diverse; nello studio sono inclusi anche i risultati relativi a bcrypt, un algoritmo di hashing più difficile da bucare rispetto a MD5.
Quel che emerge relativamente a MD5 è sorprendente: una RTX 4090 può decifrare una password complessa in meno di un'ora, mentre otto acceleratori grafici A100 impiegano meno di 20 minuti. Nell'ipotetico scenario in cui siano disponibili 10.000 A100 (la potenza hardware che muove ChatGPT), questa password sarebbe violata in 1 secondo.
| Scheda grafica | Solo numeri | Lettere minuscole | Lettere maiuscole e minuscole | Lettere maiuscole e minuscole, numeri | Lettere maiuscole e minuscole, numeri e simboli |
|---|---|---|---|---|---|
| GeForce RTX 2080 | Istantanea | 6 secondi | 24 minuti | 2 ore | 4 ore |
| GeForce RTX 3090 | Istantanea | 6 secondi | 13 minuti | 52 minuti | 2 ore |
| GeForce RTX 4090 | Istantanea | 1 secondo | 5 minuti | 22 minuti | 59 minuti |
| A100 x 8 | Istantanea | Instantly | 2 minuti | 7 minuti | 19 minuti |
| A100 x 12 | Istantanea | Instantly | 1 minuti | 5 minuti | 12 minuti |
| A100 x 10.000 (ChatGPT) | Istantanea | Istantanea | Istantanea | Istantanea | 1 secondo |
Per fortuna, bcrypt rende il lavoro molto più difficile: la stessa password verrebbe scovata da una RTX 4090 in 99 anni, tempo che scende a 17 anni con l'uso di 8 acceleratori NVIDIA A100.
Lo studio sottolinea l'urgenza di adottare misure di sicurezza più robuste, come algoritmi di hashing avanzati, per proteggere al meglio password e altre informazioni sensibili. La ricerca di Hive Systems suppone che gli aggressori abbiano accesso agli hash da grandi violazioni di dati, ma ricorda anche che questa non è sempre la condizione in cui si trovano i malintenzionati. Inoltre, l'integrazione dell'autenticazione a più fattori (MFA) può significativamente aumentare la sicurezza, anche se non è immune da attacchi di phishing.
Nonostante l'MD5 sia considerato superato e sostituito da algoritmi più sicuri come bcrypt o pbkdf2, il messaggio fondamentale è che una password forte, sebbene cruciale, rappresenta solo una parte della soluzione. La sicurezza delle informazioni dipende anche dalle pratiche adottate dai fornitori di servizi, che devono mantenersi aggiornati sull'evoluzione degli algoritmi di hashing e degli strumenti di protezione.