O primeiro modelo conseguiu quebrar uma hash MD5 – contendo letras maiúsculas, minúsculas, números e símbolos – em 59 minutos, enquanto 12 instâncias do segundo modelo, trabalhando em conjunto, levaram apenas 12 minutos. Em comparação, 10 mil placas gráficas A100 simultâneas são capazes de quebrar a mesma senha em apenas 1 segundo. As informações são do site Tom’s Hardware.
vixi, usar MD5 para fazer hash de senha?
O Fábio Akita já explicou isso, tem que usar algoritmos específicos, propositalmente eles são mais complexos e demorados para gerar o hash, com o objetivo de dificultar o ataque por força bruta.
MD5 é rápido e o intuito é mais garantir a integridade dos dados, com poucas probabilidades de colisão, ou seja, dados diferentes terem o mesmo hash.
Segundo consta na fonte indicada, a senha foi codificada em MD5. Entretanto, parece-me que ainda é impraticável quebrarem senhas armazenadas com uso de salt + SHA256 ou mesmo salt + SHA512.
Por acaso, alguém com maior conhecimento no assunto e após ter lido o artigo, saberia dizer em quanto tempo a infraestrutura apresentada na matéria conseguiria quebrar a estratégia que combina SHA512 e salt, atualmente utilizada pelo sistema de senhas do Linux?
Estou tentando publicar um conteúdo nesta resposta mas há um bloqueio do firewall do TabNews/Cloudflare (WAF - Web-Application Firewall). A seguinte mensagem é apresentada em um balão vermelho.
Requisição bloqueada pelo Firewall. Verifique seu equipamento e os dados enviados. Informe ao suporte o valor (cf-ray: 87d21fb5890d012a-GRU)
Deixo o conteúdo original que tentei publicar. Aqui está compactado e codificado com gzip -9 --stdout A100.txt | base64.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Para ver, salve o bloco base64 acima em um arquivo A100.b64 e use cat A100.b64 | base64 -d | gzip -d. Como o conteúdo é texto, não irá explorar falhas do terminal.
A Cloudflare bloqueia algumas coisas por questões de segurança, mas dependendo da forma que você formata, pode conseguir publicar. O jeito mais fácil de identificar onde está o problema é tentar criar uma publicação (sem inserir um título) com as partes mais prováveis de terem erro. Veja um exemplo aqui: https://github.com/filipedeschamps/tabnews.com.br/issues/1619.
Muito obrigado pela pronta resposta, Rafael. Estou lendo a issue que me indicou e deixando o conteúdo original codificado talvez para os desenvolvedores do TabNews inspecionarem o texto exato, se necessário.
Eu tinha dúvidas sobre a Cloudflare inspecionar o conteúdo, mas agora ficou bastante evidente o que eu já havia lido a respeito :).
Vi o texto que você disponibilizou. No seu caso, o problema é na string / etc/shadow. Repare que precisei inserir um espaço entre o / e etc. Tem duas ocorrências dessa string no seu texto, então precisará modificar os dois lugares para conseguir publicar.
Agora sim, rafael. Muito obrigado por dedicar seu tempo e verificar o que ocorreu. Estou muito surpreso com toda esta descoberta que compartilhou!
Agora, eis a publicação que desejei apresentar e com as modificações sugeridas:
Segundo consta na fonte, a senha foi codificada em MD5. Entretanto, parece-me que ainda é impraticável quebrarem senhas armazenadas com uso de salt + SHA256 ou mesmo salt + SHA512, onde há uma complexidade muito maior. Eis um exemplo:
# password
dWrGp#pF7m3W_Zgq+H0i2rd-hdU
# Salt
YbNVEjeH
Este password combinado com o salt e codificado
# SHA512
openssl passwd -6 -salt YbNVEjeH dWrGp#pF7m3W_Zgq+H0i2rd-hdU
$6$YbNVEjeH$8xMqUPHeJbMuTVIRm1pvNRL0Y26gcCuN230G2tb4qd8M4kRuO1FMdrZ1mI.VUrhIqNHokcI2fHTPv7VisVDuu0
é então armazenado no arquivo / etc/shadow
# cat / etc/shadow
user:$6$YbNVEjeH$8xMqUPHeJbMuTVIRm1pvNRL0Y26gcCuN230G2tb4qd8M4kRuO1FMdrZ1mI.VUrhIqNHokcI2fHTPv7VisVDuu0:19844:0:99999:7:::
O mesmo password e salt também poderiam ter sido combinados e codificados usando a função de dispersão MD5 (onde, aparentemente, reside a fraqueza demonstrada no artigo)
# MD5
openssl passwd -1 -salt YbNVEjeH dWrGp#pF7m3W_Zgq+H0i2rd-hdU
$1$YbNVEjeH$nT8vFK59ZQB6qWUZk20Q6.
ou SHA256
# SHA256
openssl passwd -5 -salt YbNVEjeH dWrGp#pF7m3W_Zgq+H0i2rd-hdU
$5$YbNVEjeH$Kk2A8hMNAo82g2fmD2jojM8Ov/gA0wrS76lddgzeStD
Por acaso, alguém com maior conhecimento do assunto e após ler o artigo, saberia dizer em quanto tempo a infraestrutura apresentada na matéria conseguiria quebrar a estratégia que combina SHA512 e salt utilizada pelo sistema de senhas do Linux?