Wachtwoorden onveilig door GPU's

Grafische processors zijn nu zo goed in wachtwoorden kraken dat eenvoudige wachtwoorden onveilig zijn. Zeven tekens zijn te weinig en de complexiteit moet omhoog.

De conclusie dat gewone grafische processors (GPU's) een bedreiging zijn voor eenvoudige wachtwoorden is getrokken door wetenschappers aan de Georgia Tech Research Institute. Richard Boyd, senior research scientist bij dit instituut: “We hebben een algemeen beschikbare grafische processor gebruikt om de integriteit van wachtwoorden te testen. Op dit moment kunnen we met zekerheid stellen dat een wachtwoord dat bestaat uit zeven karakters allesbehalve toereikend is en dat deze dreiging zal toenemen naarmate de kracht van grafische processors blijft groeien."

Het is niet voor het eerst dat GPU’s worden gebruikt voor het kraken van wachtwoorden. In 2007 zei het Russische beveiligingsbedrijf Elcom Soft al een manier te hebben gevonden om de flinke rekenkracht van moderne grafische kaarten aan te wenden om wachtwoorden te kraken.

Supercomputerkracht

Volgens de onderzoekers van het Georgia-instituut kunnen krachtige GPU's op dit moment informatie verwerken met een snelheid van bijna 2 teraflops. Ter vergelijking: in het jaar 2000 haalde ’s werelds snelste supercomputer (met een prijskaartje van 110 miljoen dollar) een maximale snelheid van iets meer dan 7 teraflops.

De gigantische snelheid waarmee codes zoals wachtwoorden nu zijn te kraken, is volgens de onderzoekers te danken aan het feit dat hedendaagse GPU’s zijn ontworpen als parallelle computers. Daarbij kunnen verschillende processorkernen tegelijkertijd aan verschillende problemen werken.

Lengte belangrijke factor

Volgens onderzoeker Joshua Davis bij Georgia Tech hoeven ‘brute force attacks’ tegenwoordig niet lang meer te duren, vooral niet wanneer de code die gekraakt moet worden bestaat uit korte woorden zonder hoofdletters.

“Lengte is een belangrijke factor in de bescherming tegen het kraken van een wachtwoord op deze manier. Het toetsenbord van een computer kent 95 tekens en telkens wanneer je een teken toevoegt, neemt de bescherming 95 maal toe”.

Wachtwoord alleen is onveilig

Lengte mag dan een bepalende factor zijn, ook een lang wachtwoord is geen garantie voor afdoende beveilging, volgens Christian Bridnley, technical manager bij VeriSign Authentication: “Veel mensen denken dat ze een sterk wachtwoord hebben: meer dan 12 tekens lang, met een combinatie van letters, cijfers en afwisselend grote en kleine letters. Helaas zijn wachtwoorden simpelweg niet meer genoeg om gevoelige informatie te beschermen."

Hij pleit voor het afschaffen van het ouderwetse wachtwoord en voor een overstap naar modernere middelen. "Een methode die z’n werking daarentegen wel heeft bewezen, is authenticatie door middel van een apparaat, zoals een dongel, een creditcard-achtig systeem of zelfs een mobiele applicatie.”

Bron: Webwereld.nl

Deel dit artikel
Voeg toe aan favorieten