Điểm:0

Sử dụng MS Azure để bẻ khóa mật khẩu

lá cờ cn

Tôi nghe nói có khả năng thực hiện một cuộc tấn công vũ phu bằng mật khẩu, tôi biết có tùy chọn sử dụng cạc đồ họa trên AWS, nhưng có giải pháp nào cho Azure không? Chi phí nào để thực hiện một cuộc tấn công như vậy? Tôi biết nó phụ thuộc vào hiệu suất, thời gian, v.v., có bảng giá nào về cách Azure giải quyết vấn đề này không? Tôi không thể tìm thấy nó trên google, tôi chỉ tìm thấy giải pháp cho AWS.

Maarten Bodewes avatar
lá cờ in
Có thể có một số chồng chéo, nhưng chúng tôi không phải là chuyên gia Azure ở đây.
lá cờ cn
@MaartenBodewes tốt, nó liên quan đến nhiệm vụ vũ phu. PC của tôi không thể tự làm điều đó, tôi sẽ cần thêm sức mạnh tính toán của một vài card đồ họa...
Eugene Styer avatar
lá cờ dz
Thời gian/chi phí cũng sẽ phụ thuộc vào thuật toán băm mật khẩu nào được sử dụng
Điểm:1
lá cờ kr

Nó phụ thuộc vào nhiều yếu tố.

Hãy làm một số rất lạc quan giả thiết. Giả sử mật khẩu bao gồm các ký tự trong bộ 64 ký tự (64 được lấy cho đơn giản, ví dụ: chữ cái tiếng Anh viết thường và viết hoa, các chữ số từ 0 đến 9 và một vài ký tự đặc biệt). Giả sử mật khẩu có độ dài 12. Nếu các ký tự được chọn ngẫu nhiên, entropy là 6 x 12 = 72 bit. Và giả sử, một lần nữa rất lạc quan, rằng một hàm băm đơn giản như SHA-256 là đủ để kiểm tra một mật khẩu. Do đó, trong trường hợp xấu nhất, bạn cần tính 272 băm.

Nó có thể có giá bao nhiêu?

Hãy xem xét GPU NVIDIA GeForce RTX 3090 tương đối mạnh, có thể tính toán 121 MH/s. Nó là ~239 băm mỗi giờ. GPU này tiêu thụ 350W, với lạc quan giá thấp 0,1 USD mỗi KWh có nghĩa là 0,035 USD mỗi giờ.

Dành cho 272 băm bạn sẽ cần 272 / 239 = 233 ~= 8.600.000.000 giờ của GPU đó. Điều này sẽ tiêu tốn của bạn ~300.000.000 USD.

Nếu sơ đồ mã hóa sử dụng khóa 128 bit (không có ý nghĩa gì đối với lực lượng vũ phu) được bắt nguồn từ một số thuật toán như Argon2 từ mật khẩu 12 ký tự và các tham số của nó làm bạn chậm lại, chẳng hạn như hệ số 1.000.000, thì chi phí của bạn sẽ tăng lên bởi yếu tố này. Có nghĩa là, một mật khẩu 12 ký tự có thể tiêu tốn của bạn 300.000.000.000.000 USD.

Chi phí cho sức mạnh tính toán như vậy tại MS Azure sẽ cao hơn, bởi vì còn có chi phí cho phần cứng, hệ thống làm mát, nhân sự, v.v.

Nếu bạn muốn brute-force một mật khẩu 8 ký tự và không sử dụng dẫn xuất khóa nào, thì sau khi áp dụng logic tương tự, chúng ta sẽ nhận được như sau: Entropy = 6 x 8 = 48 bit. Thời gian cần thiết để vũ phu: 248 / 239 = 29 = 512 giờ ~= 21 ngày. Do đó, ngay cả với một GPU duy nhất, bạn có thể bắt buộc sử dụng mật khẩu 8 ký tự trong vòng 21 ngày, ngay cả khi không sử dụng MS Azure.

TLDR: Ngay cả trong một trường hợp tương đối đơn giản mà không cần dẫn xuất khóa với mật khẩu 12 ký tự, việc cưỡng chế vũ phu có thể tiêu tốn ~300.000.000 USD. Và nếu một số biện pháp tiếp theo được thực hiện, ví dụ: mật khẩu dài hơn hoặc sử dụng dẫn xuất khóa ngốn tài nguyên, chi phí có thể cao hơn nhiều.

lá cờ hm
Cũng lưu ý rằng những số liệu này có chỗ cho sự lạc quan hơn :) - họ giả sử mật khẩu *tạo* trường hợp xấu nhất (mật khẩu được tạo ngẫu nhiên). Hầu hết các mật khẩu do con người tạo ra đều dễ bẻ khóa hơn nhiều (sử dụng danh sách từ, quy tắc, v.v.). Toán học tính toán vẫn hợp lệ, nhưng mật khẩu có thể bị bẻ khóa sớm hơn nhiều so với việc sử dụng hết không gian khóa.
lá cờ kr
@RoyceWilliams: Chắc chắn rồi, nếu mật khẩu do con người tạo ra, thì mật khẩu đó thường có ít entropy hơn và giúp việc cưỡng bức dễ dàng hơn. Nhưng ngày nay, mọi trình quản lý mật khẩu đều có tùy chọn tạo mật khẩu cho các tiêu chí nhất định (độ dài, bộ ký tự, v.v.). Ngoài ra một số trình duyệt, ví dụ: FireFox, tự động gợi ý tạo mật khẩu cho các trường mật khẩu. Vì vậy, mật khẩu do con người tạo ra trở nên ít thông thường hơn một chút
lá cờ cn
Tôi hiểu rằng việc sử dụng một mật khẩu dài có thể gây mệt mỏi nhưng câu hỏi của tôi giống như sản phẩm nào cung cấp dịch vụ như vậy? Hoặc chi phí Azure thực hiện một cuộc tấn công vũ phu vào mật khẩu 5 chữ số là bao nhiêu? Vì bạn chỉ có thể cho mượn một số sức mạnh tính toán của nhiều card đồ họa ghép lại với nhau

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.