De nieuwe versie 0.15 van oclHashcat-plus is het resultaat van 6 maanden ontwikkelwerk. Daarbij zijn in totaal 618.473 regels aan source code gewijzigd, laat hoofdontwikkelaar Jens (atom) Steube weten in de release notes. De kraaktool die draait op krachtige grafische processors (GPU's) is niet langer beperkt tot wachtwoorden van maximaal 15 tekens. "Dit was veruit één van de meest aangevraagde features."

Prestatieverlies door uitbreiding toch nog ingeperkt

Tot op heden hebben de Hashcat-makers dit verzoek naast zich neergelegd, omdat deze uitbreiding ook een nadelige kant heeft. Het toevoegen van support voor langere wachtwoorden zou namelijk vereisen dat diverse optimalisaties worden verwijderd uit de kraaktool. Dat zou resulteren in een lager prestatieniveau voor het ontcijferen van versleutelde wachtwoorden. "Het daadwerkelijke prestatieverlies is afhankelijk van diverse factoren (GPU, aanvalsmethode, etcetera), maar ligt gemiddeld rond de 15 procent", schrijft Steube.

Het ging concreet om drie optimalisaties voor zogeheten fast hashes, die worden gebruikt om wachtwoorden snel te kunnen versleutelen. De Hashcat-ontwikkelaars melden nu dat ze het prestatieverlies weten te minimaliseren voor twee van de drie te verwijderen optimalisaties. Voor het resterende probleem is er echter geen oplossing, "dus er zal in sommige gevallen nog altijd enig prestatieverlies zijn".

In sommige gevallen juist sneller

Hoeveel die achteruitgang is, geven de ontwikkelaars niet direct aan. Het is namelijk afhankelijk van vele factoren: "GPU-type, algoritme, aantal hashes, nou ... eigenlijk zo'n beetje alles". Daar staat tegenover dat de nieuwe Hashcat-versie in sommige scenario's juist een prestatieverbetering neerzet. De makers geven in een tabel enkele real-world voorbeelden van prestatieverlies en -winst tussen versies 0.14 en 0.15, op basis van single-hash MD5-encryptie.

De nieuwe bovengrens voor wachtwoorden ligt in de praktijk op 55 karakters. Daar zijn echter enkele uitzonderingen op, aldus Steube. Afhankelijk van de gebruikte, te kraken encryptie kan het maximum lager uitvallen. Bijvoorbeeld op 40 of slechts 24 karakters. Technieuwssite Ars Technica maakt gewag van een uitschietmaximaum van wel 64 tekens, maar de release notes van oclHashcat-plus 0.15 vermelden dat niet.

Systeemgericht wachtwoordkraken

Naast het doorbreken van de zelfopgelegde wachtwoordgrens van 15 tekens brengt het herschreven Hashcat meer nieuwe functies. Daaronder ook support voor nieuwere types GPU van Nvidia en AMD, en toegevoegde support voor versleutelingsalgoritmes van software als TrueCrypt 5.0+, 1Password, Lastpass, OpenLDAP, Mac OS X 10.8, Microsoft SQL Server 2012, Samsungs Android-pincodesysteem, en meer.

Ook heeft de nieuwe versie van de kraaktool de mogelijkheid ingebouwd om een wachtwoordaanval vooraf in te stellen voor het specifieke systeem waarop het wachtwoord is gebruikt. Daarbij slaat Hashcat wachtwoordcombinaties over die niet van toepassing zijn voor het te kraken systeem.

Voorbeeld: Active Directory

Dit kan bijvoorbeeld op basis van het wachtwoordbeleid dat geldt voor zo'n doelwit. Steube haalt Microsofts beheeromgeving Active Directory (AD) aan als voorbeeld. Deze kraakversnelling dankzij doelgerichtheid is mogelijk dankzij ontwikkelaar iPhelix die de Password Analysis and Cracking Kit (PACK) heeft gemaakt.