SSD kraakt wachtwoorden in een oogwenk
Gepubliceerd: Woensdag 3 november 2010
Auteur: Kristian van Tuil
Dat een grafische processor (GPU) sneller is in het kraken van wachtwoorden dan een processor (CPU) was al bekend. Maar er is veel efficiëntere manier. Een solid state drive (SSD) ontcijfert wachtwoorden in luttele seconden.
Al enige jaren is bekend dat grafische processors enorm handig zijn voor het kraken van wachtwoorden. Tweeënhalve maand geleden verscheen in het nieuws dat met een recente grafische kaart een wachtwoord bestaande uit zeven karakters relatief eenvoudig weet te kraken.
Maar er ligt een kaper op de kust. Het Zwitserse bedrijf Objectif Sécurité heeft namelijk uitgevonden dat met behulp van de zogenaamde 'regenboog tabellen' op SSD-schijven een complex wachtwoord bestaande uit 14 karakters in slechts 5 seconden te kraken is. Sowieso gaat het met de nieuwste generatie harde schijven in theorie tot honderd keer vlugger.
Toegangstijd is de bottleneck
Regenboog tabellen (rainbow tables) versnellen het kraken door de stappen voor het kraken alvast vooruit te rekenen middels een algoritme en de resultaten op te slaan in een tabel. Hoe meer stappen alvast worden opgeslagen, hoe groter de tabellen en hoe sneller het kraakproces verloopt. Zodra de tabellen niet meer in het geheugen kunnen worden opgeslagen, worden de minst gebruikte tabellen op geslagen op de schijf zelf. De enige bottleneck is de toegangstijd van enkele milliseconden die bij SSD's van toepassing is, anders zou het nog veel sneller kunnen.
De site CIOZone.com nam de proef op de som en besloot uit te testen of SSD's als breekijzer inderdaad werken. De resultaten noemen ze 'adembenemend'. Ze gebruikten Objectif Sécurité's gratis online XP hash cracker om complexe wachtwoorden van Windows XP SP3, bestaande uit 14 karakters, te kraken. De wachtwoorden werden als hash uit de testmachine gehaald.
Kwestie van seconden
Het blijkt dat een wachtwoord als '72@Fee4S@mura!', toch niet het meest voor de hand liggende password ooit, in vijf luttele seconden gekraakt kan worden. Hetzelfde geldt voor een wachtwoord als '*mZ?9%^jS743:!'. '(689!!!<>"QTHp' deed er iets langer over, maar werd in acht seconden omzeild.
Volgens CIOZone.com is hiermee bewezen dat het beveiligen van systemen enkel door het gebruik van wachtwoorden niet langer als 'veilig' kan worden aangemerkt. Voor veel bedrijven en overheidsinstellingen zou het gebruik van smartcards en biometrische informatie nu eindelijk verplicht gesteld moeten worden. Microsoft en Apple lijken de hint te hebben begrepen. Er doen namelijk sterke geruchten de ronde dat gezichtsherkenning in zowel Windows 8 als de iPhone 5 standaard zal zijn.
Bron: Techworld
