Use an 8-char Windows NTLM password? Don’t. Every single one can be cracked in under 2.5hrs

นักวิจัยด้านความปลอดภัย Steven Myer แสดงให้เห็นว่ารหัสผ่าน 8 ตัวอักษร (53- บิต) สามารถถูกคาดเดา (Brute force) ได้ใน 44 วัน หรืออาจถูกคาดเดาได้ภายใน 14 วินาทีหากใช้ HashCat 6.0.0 ควบคู่ไปกับ rainbow tables โดยใช้ความเร็วของ GPU ในการโจมตี จากการทดสอบนักวิจัยได้ใช้ Nvidia GTX 2080Ti GPUs 8 ตัว ในการโจมตีแบบออฟไลน์ เพื่อเดารหัสผ่านในการเข้าถึงเครื่องผ่าน NTLM และพบว่าสามารถทำการคาดเดาได้ถึง 100GH/s (gigahashes per second)

อย่างไรก็ตามการตั้งรหัสผ่านด้วยความยาวอย่างน้อย 8 ตัวนั้น ถูกใช้เป็นเกณฑ์มาตรฐานที่ได้รับการแนะนำให้ปฏิบัติตามโดย NIST แต่ก็ยังมีผู้ให้บริการหลายรายที่ไม่ได้ปรับปรุงระบบตัวเองให้รองรับตามคำแนะนำดังกล่าว ทั้งนี้ปัจจุบัน Hardware มีการพัฒนาอย่างต่อเนื่อง ส่งผลทำให้เกิดประสิทธิภาพการทำงานที่ดียิ่งขึ้น ดังนั้นในอนาคตข้อแนะนำต่างๆ ด้านความปลอดภัยอาจต้องมีการปรับตัวตามให้ทัน

ที่มา: theregister