Рейтинг:0

Использование MS Azure для взлома пароля

флаг cn

Я слышал, что есть возможность взлома пароля методом грубой силы, я знаю, что есть возможность использовать графические карты на AWS, но есть ли решение и для Azure? Какие затраты потребуются для проведения такой атаки? Я знаю, что это зависит от производительности, времени и т. д. Есть ли какой-нибудь прайс-лист о том, как Azure решает эту проблему? Я не могу найти его в Google, я нашел решения только для AWS.

Maarten Bodewes avatar
флаг in
Может быть некоторое совпадение, но мы здесь не специалисты по Azure.
флаг cn
@MaartenBodewes хорошо, дело доходит до задачи брутфорса. мой компьютер не может сделать это сам по себе, мне потребуется больше вычислительной мощности нескольких графических карт...
Eugene Styer avatar
флаг dz
Время/стоимость также будут зависеть от того, какой алгоритм хеширования паролей использовался.
Рейтинг:1
флаг kr

Это зависит от многих факторов.

давайте сделаем некоторые очень оптимистично предположения. Предположим, что пароль состоит из символов из 64-символьного набора (64 взяты для простоты, например, строчные и прописные буквы английского алфавита, цифры от 0 до 9 и несколько специальных символов). Предположим, что пароль имеет длину 12. Если символы выбираются случайным образом, энтропия составляет 6 x 12 = 72 бита. И предположим, снова очень оптимистично, что простого хэша, такого как SHA-256, достаточно для проверки одного пароля. Таким образом, в худшем случае вам нужно вычислить 272 хеши.

Сколько это может стоить?

Давайте посмотрим на относительно мощный GPU NVIDIA GeForce RTX 3090, который может вычислять 121 MH/s. Это ~ 239 хэшей в час. Этот графический процессор потребляет 350 Вт, что с оптимистично низкая цена 0,1 доллара США за кВтч означает 0,035 долларов США в час.

Для 272 хэши, которые вам понадобятся 272 / 239 = 233 ~= 8 600 000 000 часов такого GPU. Это обойдется вам примерно в 300 000 000 долларов США.

Если схема шифрования использует 128-битный ключ (что не имеет смысла для грубой силы), который получен с помощью некоторого алгоритма, такого как Argon2, из 12-символьного пароля, и его параметры замедляют вас, скажем, в 1 000 000 раз, то ваши затраты возрастут. по этому фактору. Значит, 12-символьный пароль может стоить вам 300 000 000 000 000 долларов США.

Затраты на такие вычислительные мощности в MS Azure будут выше, потому что есть еще затраты на оборудование, системы охлаждения, персонал и т.д.

Если вы хотите перебрать 8-значный пароль и не используется деривация ключа, то после применения той же логики мы получим следующее: Энтропия = 6 x 8 = 48 бит. Время, необходимое для перебора: 248 / 239 = 29 = 512 часов ~= 21 день. Таким образом, даже с одним GPU можно подобрать 8-символьный пароль за 21 день, даже без использования MS Azure.

TLDR: Даже в относительно простом случае без вывода ключа с 12-символьным паролем перебор может стоить ~300 000 000 долларов США. И если будут предприняты какие-то дальнейшие меры, т.е. пароль длиннее или используется ресурсозатратный вывод ключа, это может стоить намного дороже.

флаг hm
Обратите также внимание, что в этих цифрах есть место для большего оптимизма :) - они предполагают, что пароль *генерация* наихудший случай (пароль был сгенерирован случайным образом). Большинство паролей, сгенерированных людьми, взломать намного проще (используя списки слов, правила и т. д.). Математика вычислений все еще действительна, но пароль может быть взломан гораздо раньше, чем потребовалось бы исчерпание пространства ключей.
флаг kr
@RoyceWilliams: Конечно, если пароль сгенерирован человеком, то он обычно имеет меньшую энтропию и упрощает перебор. Но теперь у каждого менеджера паролей есть возможность генерировать пароль по заданным критериям (длина, набор символов и т. д.). Также некоторые браузеры, например. FireFox автоматически предлагает сгенерировать пароль для полей пароля. Таким образом, пароли, сгенерированные человеком, становятся менее привычными.
флаг cn
Я понимаю, что подбор длинного пароля может быть утомительным, но мой вопрос был больше похож на то, какие продукты предоставляют такие услуги? Или сколько будет стоить Azure, выполняющая атаку методом грубой силы на 5-значный пароль? Поскольку вы можете просто одолжить некоторую вычислительную мощность многих графических карт вместе взятых.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.