NVIDIAの高性能グラボは複雑なパスワードも短時間で突破可能

セキュリティ企業のHive Systemsは、パスワードの長さや複雑さによって強度がどれだけ変わるのかをまとめたパスワードテーブルを毎年発表しています。さらに2024年には、複数のグラフィックボードでパスワードの解読にどれだけの時間がかかるかを調査した結果が発表されました。

Are Your Passwords in the Green?
https://www.hivesystems.com/blog/are-your-passwords-in-the-green

Nvidia's flagship gaming GPU can crack complex passwords in under an hour | Tom's Hardware
https://www.tomshardware.com/pc-components/gpus/nvidias-flagship-gaming-gpu-can-crack-complex-passwords-in-under-an-hour

ネットサービスでユーザーのパスワードをそのままデータベースに保存すると、サービス提供者に覗かれたりデータ漏洩によってそのまま流出したりするリスクがあります。そこで、パスワードに対して一意的な数学的変換を施し、元の文字列からは復元が困難な「ハッシュ値」を保存する方式が用いられます。

Hive Systemsは、実際によく使われているハッシュアルゴリズムとしてMD5やbcryptを想定し、高性能なGPUを搭載したPCでハッシュ計算速度の測定を行い、さらに全ての文字の組み合わせをハッシュ化してパスワードのハッシュと一致するものを見つけ出す「ブルートフォース攻撃」を想定し、その完了までの最長時間を計算しています。

また、パスワードの文字数は、アメリカ国立標準技術研究所(NIST)のパスワード作成ガイドラインで最低限必要とされる8文字を想定し、使用される文字列はランダムとなっています。

MD5によってハッシュ化された8文字のパスワードに対する解読時間をまとめた表が以下。左から「数字のみ」「小文字のみ」「小文字と大文字」「数字と小文字と大文字」「数字と大文字と小文字と記号」で、解読に使われたGPUは上からRTX 2080、RTX3090、RTX 4090、A100×8基、A100×12基、A100×1万基となっています。これによると、ゲーミング用GPUでは記事作成時点で最上位クラスとなるRTX 4090だと、「数字と大文字と小文字と記号」を用いた最も複雑なパスワードでも、わずか1時間足らずで解読できてしまうことがわかります。

bcryptによってハッシュ化された8文字のパスワードの場合が以下。bcryptの方がMD5よりもセキュリティ強度が高く、「数字と大文字と小文字と記号」という組み合わせであれば、8文字でもA100を12基使って解読しても12年はかかってしまいます。

Hive SystemsはChatGPT向けのGPUクラスタをレンタルしてA100を1万基も動員して検証も行っており、この方法であれば爆速で解読することが可能ですが、IT系ニュースサイトのTom's Hardwareは「大規模なGPUクラスタのレンタルにはかなりの費用がかかるため、実際に1つのパスワードを解析する手段としてはあまり現実的ではない」としています。

なお、bcryptでハッシュ化したパスワードをA100×8基で解読した結果を、文字数(縦列)とパスワードの文字種類(横列)でまとめた表が以下。当然ながら文字数が増えれば増えるほど解読にかかる時間は長くなっていきます。「数字のみ」のパスワードでも14文字以上あれば解読に3年かかり、「数字と大文字と小文字と記号」のパスワードであれば9文字を超えると解読に1000年はかかるそうです。