Investigadores de seguridad lograron armar una plataforma de procesamiento masivo de números que es capaz de romper contraseñas seguras por ataque de fuerza bruta en minutos.

Jeremi Gosney (alias epixoip) lo demostró en una máquina ejecutando el programa de crackeo HashCat a través de un cluster de cinco servidores equipados con 25 AMD Radeon GPU en la conferencia Passwords^12 en Oslo, Noruega.

El sistema de Gosney indica que cada contraseña fuerte protegida por algoritmos de cifrado de un solo sentido, en particular las empleadas en LM y NTLM de Microsoft, es vulnerable.

El hash generado por Lan Manager de una contraseña de 14 caracteres en Windows XP puede ser roto en sólo seis minutos. LM divide una contraseña de 14 caracteres en dos cadenas de siete caracteres antes de aplicar el hash, lo que significa que es mucho menos segura que el hash de una contraseña de ocho caracteres con otro esquema de cifrado. Romper con fuerza bruta una contraseña de ocho caracteres puede tomar 5.5 horas, indicó Security Ledger.

El ataque puede ejecutarse contra hashes filtados de contraseñas, pero no contra métodos de inicio de sesión directamente. Desde que las violaciones contra datos no son raras, esto no se considera una barrera contra el uso indebido.

Servicios como WPACracker y CloudCracker, una plataforma de penetración para pruebas basada en la nube, han mostrado realmente que viejos algoritmos de cifrado y contraseñas cortas son realmente inseguras. El investigador Gosney hace mucho incapié en ello.