Het brute-force kraken van encryptiesleutels vereist heel wat computerkracht. De beste beveiliging is dan ook je wachtwoorden zo complex en lang mogelijk te maken, zodat het veel te lang duurt en veel te veel kost om het wachtwoord te kraken. Maar met de opgang van de cloud dalen die kosten drastisch: het is tegenwoordig vrij goedkoop om even een server op Amazon EC2 te draaien. Het beveiligingsbedrijf Electric Alchemy heeft gedemonstreerd dat men hiermee vrij goedkoop een sleutel kan kraken.

Kraken op EC2

Het bedrijf kreeg van een klant de vraag om enkele met PGP versleutelde ZIP-archieven te ontcijferen. Electric Alchemy koos voor de software ElcomSoft Distributed Password Recovery. Op een snelle dual core Windows 7-computer zou het kraken van een redelijk lang PGP-wachtwoord echter 2100 dagen duren. Daarom besloot het bedrijf om ElcomSoft op Amazon EC2 te draaien: tien virtuele computers die het wachtwoord tegelijk proberen te kraken zouden er 122 dagen over doen, en honderd virtuele computers 12 dagen. En dat tegen 0,30 dollar per uur voor een High CPU instance.

Lang en complex wachtwoord

Uiteindelijk heeft Electric Alchemy het gezochte wachtwoord nog niet gevonden, maar het bedrijf geeft wel een interessant inzicht in de kost van het kraken van sleutels. Zo kost een wachtwoord van twaalf kleine letters 1,5 miljoen dollar om op EC2 te kraken. Voor elf letters wordt dit 60.000 dollar en voor tien 2.300 dollar. Een wachtwoord van acht karakters met cijfers, kleine letters en hoofdletters en speciale tekens zoals !, @, #, % en $ zou zo'n 100.000 dollar kosten om te kraken. Het loont dus duidelijk om een lang en complex wachtwoord te kiezen.

Bron: Techworld