BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
🗞️

Hive Systems el tiempo necesario para romper un hash por fuerza bruta en 2022

1
CuloDePez
4

Las estimaciones son muy interesantes:

  • Una RTX 2080 puede probar 37.000 millones de combinaciones por segundo de MD5
  • Una RTX 3090 puede probar 69.000 millones de combinaciones por segundo de MD5

Muchos servicios aún usan MD5. No es algo super dramático debido a las protección de tiempo e intentos, pero sí que es verdad que se ha quedado completamente obsoleto para proteger filtraciones de los hashes. Solo con pasar a un bcrypt con salteado pasamos a:

  • Una RTX 3090 puede probar 100.000 combinaciones por segundo de bcrypt.

hivesystems.io/blog/are-your-passwords-in-the-green

Bramante
5

Siempre que leo de MD5, me acuerdo de la pifia de Yahoo! y su consiguiente meme:

🗨️ 1
JGeek00

No entiendo la referencia

skgsergio

. No es algo super dramático debido a las protección de tiempo e intentos, pero si que es verdad que se ha quedado completamente obsoleto para proteger filtraciones de los hashes.

Cuando se habla de "probar X millones de combinaciones por segundo" de una GPU/FPGA/ASIC no es para probarlas en en login de la web precisamente, es para pillar los hashes de las filtraciones y atacarlos/crackearlos, por lo que las protecciones de tiempos e intentos no pintan nada.

Nadie ataca un login de una web haciendo intentos con una GPU, de hecho es absurdo. La GPU se usa para conversion texto a hash de forma rápida y paralela, sobre todo en esquemas mas complejos que MD5 que llevan multiples rondas y sales.

🗨️ 2
CuloDePez

Gracias por tu explicación de que el agua moja xD

Lo he puesto por eso, por mucho que un hash se quede obsoleto, no es "dramatico" en el día a día, cuando todo esta bien. Y a partir de ahi he desarrollado: si se ha quedado completamente obsoleto para proteger filtraciones de los hashes.

🗨️ 1
skgsergio

Con tu "No es algo super dramático debido a las protección de tiempo e intentos" das a entender que da igual cuantos intentos haga la GPU que esas protecciones actuan, cuando el ataque al hash por la GPU no funciona así. Por lo que no es explicación de que el agua moja, es explicación de que es el agua.