Jeremi Gosney, pendiri dan CEO Stricture Consulting Group, belum lama ini memperlihatkan bagaimana sebuah komputer cluster yang terdiri dari 25 kartu pengolah grafis (GPU,graphics processing unit) bisa menjebol password Windows.
Password yang tergolong terkuat atau susah ditebak dengan delapan karakter dan mengandung kombinasi huruf besar-kecil, angka, dan simbol, dapat dibobol dalam waktu kurang dari enam jam.
Mesin ini dibuat dengan 25 buah kartu grafis AMD Radeon yang menjaankan platform cluster Virtual OpenCL (VCL) sehingga bisa berfungsi layaknya komputer tunggal. Gosney kemudian memakai toolmenjebol password bernama ocl-Hashcat Plus yang dirancang khusus untuk penggunaan dengan GPU.
Hasil karya Gosney ini sanggup menghasilkan kemungkinan password (brute force) sebanyak 350 miliar kali dalam satu detik. Artinya, semua jenis kombinasi yang mampu dihasilkan oleh password sebanyak delapan karakter bisa dicoba oleh mesin tersebut dalam waktu lima setengah jam. Waktu tersebut diklaim Gosney empat kali lebih cepat dibandingkan yang dimungkinkan sebelumnya.
Hasilnya, algoritma cryptographic NTLM Microsoft yang digunakan untuk mengamankan password Windows sejak versi Windows Server 2003 pun takluk.
Semua ini dimungkinkan oleh virtualisasi dengan VCL. Penggunaan GPU untuk kebutuhan komputasi sendiri sama sekali bukan barang baru, tetapi karena limitasi software, sebelumnya hanya 8 buahgraphics card bisa digunakan dalam satu komputer.
Walaupun begitu, perlu dicatat bahwa metode Gosney ini hanya berlaku untuk hacking password secara offline. Kebanyakan situs website -seperti milik perbankan, misalnya- membatasi jumlah password salah yang bisa dimasukkan sebelum mengunci akun atau mengaktifkan jeda waktu sebelum input password selanjutnya.
Mesin ini pun butuh waktu jauh lebih lama untuk menebak kombinasi password yang lebih panjang. Password 9 karakter perlu 500 jam untuk bisa dijebol, sementara password 10 karakter bisa memakan waktu hingga 5,4 tahun. Jumlah karakter pada password, berikut kombinasi huruf besar-kecil, angka, dan simbol khusus yang disertakan, memang menentukan tingkat keamanannya.
Tidak ada komentar:
Posting Komentar