Il repose sur un principe simple. Toutes les combinaisons possibles de caractères (mots de passe) sont générées, un hachage correspondant est créé pour elles et ces hachages sont comparés (le hachage du mot de passe divulgué avec ceux générés). Si les hachages correspondent, il y a de fortes chances que le mot de passe correct ait été trouvé. Le problème avec les mots de passe courts est qu’il peut être assez rapidement tenté de générer toutes les combinaisons imaginables de mots de passe et leurs hachages respectifs à des fins de comparaison. Et il s’avère que le nouveau RTX 4090 est effroyablement rapide.
L’utilisateur de GitHub, Chick3nman, a eu l’idée de tester la vitesse de cette carte, avec l’aide de l’utilisateur de blazer qui a effectué ces tests sur la carte. Sur GitHub, vous pouvez trouver une liste de toutes sortes de fonctions de hachage qu’ils ont testées dans l’environnement d’application Hashcat pour “récupérer les mots de passe”, nous n’en soulignerons que quelques-unes ici. NTLM (New Technology LAN Manager) a probablement provoqué le plus de remous. Ce protocole d’authentification est utilisé, par exemple, dans les protocoles réseau SMB et Windows, et il a déjà été démontré dans le passé qu’un mot de passe court peut être un énorme problème ici. Ici, la GeForce RTX 4090 atteint une vitesse de près de 300 GH/s (300 milliards de hachages par seconde). Selon leurs calculs, une telle carte graphique déchiffrerait un mot de passe de 8 lettres en un peu plus de 6 heures. Une plate-forme avec 8 de ces cartes le ferait en aussi peu que 48 minutes.
Bien sûr, cela dépend de la façon dont les mots de passe sont générés, et si seules les lettres minuscules étaient testées, et que le mot de passe n’était vraiment qu’en minuscules, une seule carte le ferait en moins d’une seconde. Dans le cas des lettres et chiffres minuscules et majuscules (à la fois pour le mot de passe et pour la plage testée, ce qui est typique, par exemple, des exigences de mot de passe sur les sites Web), nous aurions environ 12 minutes pour 8 caractères. Cependant, un mot de passe de 10 lettres (majuscules et minuscules, chiffres) prendrait un RTX 4090 2,8 millions de secondes (sur 32 jours). bcrypt s’est avéré nettement plus sécurisé, qui même sur cette carte n’atteint que 200 kh/s. Là, même pour le mot de passe à 10 chiffres susmentionné avec des lettres majuscules, minuscules et des chiffres, la carte aurait besoin de plus de 130 000 ans.