グラボ(GPU)の力でMD5を解読 - うさぎ文学日記(情報元のブックマーク数)
この記事は良記事!1万4千円で買ったGPUでMD5を解析したら、1秒間に20億回のトライをしてたという話。。。。MD51回だけのハッシュパスワードはダメダメってことか・・・SALTとストレッチングか・・・
CPUではなく、グラフィックボードに搭載されているGPUの力を使って、MD5やSHA-1などのハッシュ値を解読するというのを試してみました。
グラボ(GPU)の力でMD5を解読 - うさぎ文学日記
きっかけはPCの刷新。ゲームなどはしないので、DUAL DVI-Iが付いていれば何でもいいやと思って「VAPOR-X HD 5770 1G GDDR5 PCI-E DUAL DVI-I/HDMI/DP OC Version」というカードを13,980円で購入。
このATI HD5770が、GPUを使ってハッシュ値をブルートフォースで解読する「IGHASHGPU」に対応していたので、以前から試してみたかったので使ってみました。
ってことで、色々対策を載せておいたほうがよさそうですね。
グラボ(GPU)の力でMD5を解読 - うさぎ文学日記ハッシュと言えば、Webアプリなどでパスワードの保存に使っていると思います。その場合には、下記を対策として取り入れるようにしましょう。
- MD5やSHA-1といった暗号アルゴリズムをSHA-2(主にSHA-256)に移行
- saltを加えてハッシュ化することでレインボーテーブル対策
- ストレッチ(ハッシュを1000回繰り返しかけるなど)を実施することで今回のような総当たり解読対策
その他、認証のインタフェースにはアカウントロック(10回失敗すると30分ログインできないなど)を取り入れて、オンラインからのパスワードクラックに対応する必要がありますね。