Onderzoekers hebben gekeken hoelang het duurt om bcrypt-wachtwoordhashes met verschillende videokaarten te kraken. Het gaat dan specifiek om hashes van wachtwoorden die uit acht karakters bestaan. Hashes worden gebruikt om wachtwoorden gecodeerd in een database op te slaan. Wanneer de gebruiker zich bijvoorbeeld bij een website registreert en een wachtwoord opgeeft, wordt hier via een hashingalgoritme een hash van gemaakt. De hash wordt in de database opgeslagen.
Dit voorkomt dat als de website wordt gecompromitteerd en de database gestolen, de aanvaller meteen toegang tot de wachtwoorden van gebruikers heeft. Die zijn namelijk gehasht. Een ander kenmerk van hashes is dat een hashingalgoritme voor een gegeven wachtwoord altijd dezelfde hash zal genereren. Verschillende gebruikers die hetzelfde wachtwoord kiezen zullen ook dezelfde wachtwoordhash hebben.
Een populair hashing-algoritme was lange tijd MD5, maar dat is tegenwoordig eenvoudig te kraken. Uit gegevens van datalekzoekmachine Have I Been Pwned blijkt dat de afgelopen jaren de meeste gelekte wachtwoordhashes via het bcrypt-algoritme zijn gemaakt. Voor het onderzoek gebruikten de onderzoekers van Hive Systems verschillende videokaarten, waaronder een cluster van twaalf RTX 4090-videokaarten.
Een dergelijk systeem heeft 99 jaar nodig om een willekeurig gegenereerde hash te kraken van een wachtwoord dat uit acht karakters bestaat (getallen, hoofdletters, kleine letters en symbolen). Tienduizend Nvidia Tesla A100-kaarten zouden er vijf dagen over doen. Hierbij moet worden opgemerkt dat er geen salting bij het hashen werd toegepast en voor bcrypt 32 iteraties werden gebruikt. Uit het onderzoek blijkt ook dat hoe langer het wachtwoord, hoe langer de tijd om het wachtwoord te kraken. Daarbij stellen de onderzoekers dat passphrases gebruikers kunnen helpen om aan een langer wachtwoord te komen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.