Welp, RTX 5090 của Nvidia có thể bẻ khóa mật khẩu 8 chữ số trong 3 giờ

Tôi có tin xấu cho tất cả những người có mật khẩu yếu. Một hacker có thể đoán mật khẩu ngẫu nhiên lười biếng nhất của bạn trong cùng một khoảng thời gian để xem một bộ phim.

Hóa ra khi bạn đặt card đồ họa tiêu dùng nhanh tàn bạo nhất với nhiệm vụ, ừ, ép buộc mật khẩu 8 ký tự, nó có thể bẻ khóa một chuỗi chỉ có số trong 3 giờ. 

Đó là phát hiện của Hive Systems, một công ty an ninh mạng có trụ sở tại Virginia, như một phần của nghiên cứu được thực hiện bảng mật khẩu năm 2025 của nó". (Mẹo mũ để Phần cứng nóng để phát hiện tin tức.) Biểu đồ cho thấy tốc độ tin tặc “consumer budget” có thể ép buộc mật khẩu có độ dài khác nhau (4 đến 18 ký tự) và bố cục (ví dụ: chỉ các số, chữ thường, chữ hoa và chữ thường, v.v.).

Và thực ra, “ngân sách tiêu dùng” có nghĩa là mười hai RTX 5090s chạy đua để khám phá mật khẩu của bạn, không chỉ một. Nhưng nhìn vào công việc của chỉ một người đã đủ giật mình rồi.

Ngày nay, mật khẩu 8 ký tự là mức tối thiểu mặc định trên phần lớn các trang web. Bất cứ ai bị mắc kẹt vào đường cơ sở đó và nghiền trên bàn phím của họ, numpad có nguy cơ cao bị hack.

Và trong khi sự phức tạp của mật khẩu cải thiện tình hình, với giờ biến thành tháng, năm và thậm chí cả thiên niên kỷ khi bạn mở rộng quy mô, nó không hoàn toàn cứu bạn khỏi nguy hiểm.

Bởi vì đây là những gì nó trông giống như khi bạn tình cờ đặt $30,000 sức mạnh card đồ họa (cho hoặc nhận, tùy thuộc vào mô hình RTX 5090 được lựa chọn bởi hacker giả định của chúng tôi):

Thông thường, nếu bạn không sử dụng trình quản lý mật khẩu, có thể bạn đang giữ mật khẩu của mình đơn giản nhất có thể, nếu không sử dụng lại hoàn toàn một số mật khẩu. Hy vọng rằng không có bất kỳ ràng buộc nào với tài khoản tài chính của bạn—lý do tại sao khoản đầu tư $30K + không là gì đối với một hacker sử dụng loại tấn công này.

(Nó không tốt.)

Khi bạn đưa phần cứng cấp doanh nghiệp vào công việc, các card đồ họa đã đào tạo ChatGPT-3 có thể đoán mật khẩu 8 ký tự được làm bằng chữ thường trong một gi. Phần cứng đã đào tạo ChatGPT-4? 43 phút. Và phần cứng chạy ChatGPT? 30 phút.

Đối với một password—one 8 ký tự phức tạp hơn có số, chữ in hoa và chữ thường cũng như công cụ AI ký tự đặc biệt như ChatGPT có thể đoán được chỉ trong 2 tháng. Nếu điều đó, tất cả những gì đứng giữa một hacker quyết tâm và một ví tiền điện tử, tốt.

Nói đến đây, Hive Systems cũng nghĩ đến điều tương t. Nếu một hacker tự chế biến một phi đội thập niên 5090 dựa trên dữ liệu mật khẩu vi phạm LastPass năm 2022, ở đây, thiệt hại tài sản thế chấp có thể trông như thế nào:

Sao nhanh vậy? Tại thời điểm vi phạm, LastPass đã không chạy mật khẩu qua nhiều vòng băm (lặp lại), điều này tăng cường mã hóa mật khẩu. Mặc định đối với một số tài khoản cũ hơn vẫn chỉ là 5.000 lần lặp —, thấp hơn nhiều so với mức hàng trăm nghìn được đề xuất vào thời điểm đó. Nói cách khác, ít công việc hơn cho phần cứng mạnh m.

Tin tốt

Đọc các biểu đồ có thể đáng sợ nếu bạn là một loại mật khẩu 8 ký tự của person—nhưng an ủi nếu bạn dựa vào mật khẩu dài hơn, phức tạp hơn. Hiện tại, bất kỳ ai làm rung chuyển mật khẩu 16 ký tự với các số, chữ in hoa và chữ thường cũng như các ký tự đặc biệt không chỉ ngồi an toàn trước một bộ sưu tập nhỏ những năm 5090 mà còn cả ChatGPT.

Khi sức mạnh tính toán tiếp tục tăng (và triển vọng của điện toán lượng tử đến gần hơn), những hướng dẫn này sẽ thay đổi. Bạn có thể vượt qua một số điều đó bằng cách chọn mật khẩu ngẫu nhiên dài hơn, phức tạp hơn now—let một trình quản lý mật khẩu xử lý công việc khó khăn của cả việc tạo ra và ghi nhớ chúng. Bạn có thể sử dụng phần mềm lưu trữ dữ liệu cục bộ trên thiết bị nếu bạn không thoải mái lưu trữ dữ liệu trên đám mây.

Đặt cược tốt nhất của bạn? Chuyển sang passkeys như là cách chính của bạn đăng nhập vào tài khoản của bạn. Chúng không thể bị ép buộc một cách thô bạo như mật khẩu và chúng cũng có khả năng chống lừa đảo và giành chiến thắng kép. Mối nguy hiểm thực sự duy nhất với passkey là mất thiết bị mà bạn đã lưu trữ chúng (ví dụ: điện thoại của bạn).

Nhưng với như vậy nhiều cách dễ dàng để lưu trữ passkey, thật đơn giản để tạo nhiều bản sao lưu. Và nếu không có gì khác, bạn có thể để lại mật khẩu siêu dài, phức tạp và ngẫu nhiên + 2FA hoạt động trên tài khoản, sau đó lưu trữ thông tin đó trong trình quản lý mật khẩu và ứng dụng 2FA mà bạn hoàn toàn kiểm soát. Sau đó, chỉ cần để chúng trừ khi bạn cần quyền truy cập khẩn cấp vào tài khoản của mình.