GPU强大的并行计算能力,直接导致了一个令人意外的后果,就是普通电脑的解密能力得到了极大的加强,以至于传统的依赖密码加密的方式可能不再有效了。
通过暴力穷举所有密码组合的方式,属于算法极其简单,计算重复度极高的破解方式。特别适合GPU这样的"Dumb CPU"进行处理。一个GPU上千个计算核心,完全可以顶的上千个CPU的计算能力。 一个长度为7的传统高强度密码,例如"FV&9.in",GPU只需要7个小时就可以破解,而传统的GPU需要花上整整75天。而记忆这样的密码,对普通人而言,已经不是那么容易的了。 另外一个例子是Wifi的密码,利用EWSA软件和GPU配合,几乎没有破解不了的WPA密码。 对于有真正企图的攻击者,还可以实现准备好穷举密码的Hash文件,将其调入内存实现高速匹配。在这样的入侵面前,除非有限制密码尝试的举措,否则绝大多数长度低于10位的密码都是形同虚设。 以上都是针对本地存储的密码而言。另一方面,Web服务大多具备检测暴力破解的能力,但是很多Web都不是通过加密的HTTP传送帐号信息的,明文传送的密码显然非常不安全。即使是像网上银行和Google这样的大型专业公司,普遍采用了https作为基础的传输方式,SSL的加密算法本身在GPU的计算能力面前,可能也会很快受到威胁。 早在2009年,欧洲的研究者就已经利用200台PS3中的计算单元,攻破了SSL加密算法中的一个,MD5。由于GPU计算能力的提高主要是依赖增加计算单元,而不是提高时钟频率,物理上没有太多的限制,以后仍然延续摩尔定律提高性能是可以预期的。对于目前还是相对安全的SHA加密而言,是否能够在可见的将来继续保持一定的安全性也很难说。 技术的进步永远是一把双刃剑。 |