お安い GPU で強固なパスワードも用無しに

　大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。

　 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破できた。9 文字の大文字小文字混在のランダムな文字列では CPU では 43 年、GPU では 48 日と試算された。記号やスペースを加えた 7 文字のパスワードでは CPU で 75 日、GPU で 7 時間である。

　GPU コンピューティングによりここまで安価な構成で高速に突破されてしまうとさすがに危機感を感じざるを得ない。そもそもシステムによってはパスワードの長さが著しく短く制限されているところもあるだろうし、そうなっていては手の打ちようもない。著しく長く複雑なパスワードを考案し、ポストイットにパスワードをメモって机の中にこっそりしまっておくとかいう状況は古典的ではあるが既に喜劇の領域だ。パスワードを擬人化するなどの方法を使ったり、もちろんセキュリティチップや生体認証などの利用も検討するべきだろう。

　スラッシュドットのコメントを読む | ハードウェア | セキュリティ