Score:0

ใช้ MS Azure เพื่อถอดรหัสรหัสผ่าน

ธง cn

ฉันได้ยินมาว่ามีความเป็นไปได้ที่จะทำการโจมตีรหัสผ่านแบบเดรัจฉาน ฉันรู้ว่ามีตัวเลือกในการใช้กราฟิกการ์ดบน AWS แต่ Azure ก็มีวิธีแก้ปัญหาเช่นกัน จะต้องเสียค่าใช้จ่ายเท่าใดในการโจมตีดังกล่าว ฉันรู้ว่ามันขึ้นอยู่กับประสิทธิภาพ เวลา ฯลฯ มีรายการราคาเกี่ยวกับวิธีที่ Azure แก้ปัญหานี้หรือไม่ ฉันไม่พบใน google ฉันพบวิธีแก้ปัญหาสำหรับ AWS เท่านั้น

Maarten Bodewes avatar
in flag
อาจมีการทับซ้อนกัน แต่เราไม่ใช่ผู้เชี่ยวชาญของ Azure ที่นี่
cn flag
@MaartenBodewes เอาล่ะ มันมาถึงงานดุร้าย พีซีของฉันไม่สามารถทำเช่นนั้นได้ด้วยตัวเอง ฉันต้องการพลังในการคำนวณมากกว่านี้จากกราฟิกการ์ดไม่กี่ตัว...
Eugene Styer avatar
dz flag
เวลา/ค่าใช้จ่ายจะขึ้นอยู่กับอัลกอริธึมการแฮชรหัสผ่านที่ใช้ด้วย
Score:1
ธง kr

ขึ้นอยู่กับหลายปัจจัย

ลองทำดูบ้าง มองโลกในแง่ดีมาก สมมติฐาน สมมติว่ารหัสผ่านประกอบด้วยอักขระจากชุดอักขระ 64 ตัว (64 ตัวสำหรับความง่าย เช่น ตัวอักษรภาษาอังกฤษตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ ตัวเลข 0 ถึง 9 และอักขระพิเศษสองสามตัว) สมมติว่ารหัสผ่านมีความยาว 12 ถ้าเลือกอักขระแบบสุ่ม เอนโทรปีคือ 6 x 12 = 72 บิต และสมมุติอีกครั้ง ในแง่ดีมากแฮชง่ายๆ เช่น SHA-256 ก็เพียงพอแล้วในการทดสอบรหัสผ่านเดียว ดังนั้นในกรณีที่เลวร้ายที่สุด คุณต้องคำนวณ 272 กัญชา

ค่าใช้จ่ายเท่าไหร่?

มาดู GPU NVIDIA GeForce RTX 3090 ที่ทรงพลังซึ่งสามารถคำนวณได้ 121 MH/s มันคือ ~239 แฮชต่อชั่วโมง GPU นี้กินไฟ 350W ซึ่งด้วย ราคาต่ำในแง่ดี 0,1 USD ต่อ KWh หมายถึง 0,035 USD ต่อชั่วโมง

สำหรับ 272 แฮชที่คุณต้องการ 272 / 239 = 233 ~= 8,600,000,000 ชั่วโมงของ GPU ดังกล่าว สิ่งนี้จะทำให้คุณเสียค่าใช้จ่าย ~ 300,000,000 USD

หากรูปแบบการเข้ารหัสใช้คีย์ 128 บิต (ซึ่งไม่สมเหตุสมผลที่จะใช้กำลังเดรัจฉาน) ซึ่งได้มาจากอัลกอริทึมบางอย่าง เช่น Argon2 จากรหัสผ่าน 12 อักขระ และพารามิเตอร์ของมันทำให้คุณทำงานช้าลงโดยคิดเป็น 1,000,000 ต้นทุนของคุณจะเพิ่มขึ้น ด้วยปัจจัยนี้. หมายความว่า รหัสผ่าน 12 อักขระอาจทำให้คุณเสียเงิน 300,000,000,000,000 USD

ต้นทุนของพลังการประมวลผลดังกล่าวที่ MS Azure จะสูงขึ้น เนื่องจากยังมีต้นทุนของฮาร์ดแวร์ ระบบระบายความร้อน บุคลากร และอื่นๆ

หากคุณต้องการบังคับรหัสผ่าน 8 อักขระแบบเดรัจฉานและไม่มีการใช้การสืบทอดคีย์ หลังจากใช้ตรรกะเดียวกันแล้ว เราจะได้สิ่งต่อไปนี้: เอนโทรปี = 6 x 8 = 48 บิต เวลาที่ใช้ในการดุร้าย: 248 / 239 = 29 = 512 ชั่วโมง ~= 21 วัน ดังนั้น แม้จะใช้ GPU ตัวเดียว คุณก็สามารถบังคับรหัสผ่าน 8 อักขระได้ภายใน 21 วัน แม้จะไม่ได้ใช้ MS Azure ก็ตาม

TLDR: แม้แต่ในกรณีที่ค่อนข้างเรียบง่ายโดยไม่มีการสืบเชื้อสายของคีย์ด้วยรหัสผ่าน 12 อักขระ การบังคับให้ดุร้ายอาจมีราคาสูงถึง 300,000,000 USD และหากมีการดำเนินมาตรการเพิ่มเติมเช่น รหัสผ่านยาวกว่าหรือใช้การสืบทอดรหัสทรัพยากรที่หิวโหย อาจมีต้นทุนสูงกว่ามาก

hm flag
โปรดทราบว่าตัวเลขเหล่านี้มีที่ว่างสำหรับการมองโลกในแง่ดีมากขึ้น :) - ตัวเลขเหล่านี้ถือว่ารหัสผ่าน *รุ่น* เป็นกรณีที่เลวร้ายที่สุด (รหัสผ่านนั้นถูกสร้างขึ้นแบบสุ่ม) รหัสผ่านที่มนุษย์สร้างขึ้นส่วนใหญ่จะถอดรหัสได้ง่ายกว่ามาก (โดยใช้รายการคำศัพท์ กฎ ฯลฯ) คณิตศาสตร์ในการคำนวณยังคงใช้ได้ แต่รหัสผ่านอาจถูกถอดรหัสได้เร็วกว่าการใช้คีย์สเปซจนหมด
kr flag
@RoyceWilliams: แน่นอน ถ้ารหัสผ่านถูกสร้างโดยมนุษย์ ก็มักจะมีค่าเอนโทรปีน้อยกว่าและทำให้การดุร้ายบังคับง่ายขึ้น แต่ทุกวันนี้ผู้จัดการรหัสผ่านทุกคนมีตัวเลือกในการสร้างรหัสผ่านสำหรับเกณฑ์ที่กำหนด (ความยาว ชุดอักขระ ฯลฯ) เบราว์เซอร์บางตัว เช่น FireFox แนะนำให้สร้างรหัสผ่านสำหรับฟิลด์รหัสผ่านโดยอัตโนมัติ ดังนั้นรหัสผ่านที่มนุษย์สร้างขึ้นจึงกลายเป็นเรื่องปกติน้อยลง
cn flag
ฉันเข้าใจว่าการบังคับรหัสผ่านยาวๆ อย่างโหดเหี้ยมอาจทำให้คุณเหนื่อย แต่คำถามของฉันคือผลิตภัณฑ์ใดที่ให้บริการดังกล่าวมากกว่ากัน หรือค่าใช้จ่ายของ Azure ในการโจมตีแบบ bruteforce ด้วยรหัสผ่าน 5 หลักจะเป็นเท่าใด เนื่องจากคุณสามารถยืมพลังในการคำนวณของกราฟิกการ์ดจำนวนมากมารวมกันได้

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา