安全研究人员Sam Croley在Twitter上分享了Nvidia新的RTX 4090在破解密码方面到底有多不可思议。事实证明，在破解你的一个密码方面，它的速度是以前的领导者RTX3090的两倍--即使在面对微软的新技术局域网管理(NTLM)认证协议和Bcrypt密码黑客功能时也是如此。

从本质上讲，这意味着任何拥有RTX 4090的富裕玩家都可以在几天内破解一个普通的密码--这还是在你遵循良好的密码设置惯例的情况下(而我们大多数人肯定不会这样)。

该基准，HashCat V.6.2.6.，是一个著名的密码破解工具，最好掌握在系统管理员和网络安全专业人士手中(顺便说一下，克罗利是其中的一个核心程序员)。它允许研究人员在少数可能需要的情况下测试或猜测用户密码。

不幸的是，这意味着网络犯罪分子也可以这样做。随着图形用户界面(GUI)的发展以及这些程序在配备高性能显卡的现代计算机中的易用性，部署这些工具变得比以往任何时候都容易。新的@nvidia RTX 4090的第一个@hashcat基准测试! 在几乎所有的算法中，都比3090有超过2倍的疯狂提升。很容易就能创造记录。300GH/s NTLM和200kh/s bcrypt w/ OC! 感谢blazer的运行。、

在测试中，RTX 4090在几乎所有的算法中都战胜了RTX 3090，性能几乎翻了一番--这并不那么令人震惊，即使这仍然代表着比我们在RTX 4090的图形性能中看到的更高的性能改进。这可能是Nvidia仍然投入大量的图形芯片设计开发以提高其在数据中心方面的性能的结果。RTX 4090在HashCat软件中提供的几种攻击类型中大放异彩：字典攻击、组合器攻击、掩码攻击、基于规则的攻击和暴力攻击。

研究人员估计，一个专门建造的密码散列装备(搭配八个RTX 4090 GPU)可以在48分钟内破解一个八字密码。根据Statista和2017年的数据，8个字符的密码是泄露的密码中最常见的，占据了32%的份额。这并不意味着它们是最不安全的;它只是很可能意味着它是最常见的密码字符长度。而且它们现在可以在一小时内被一个 "专门的 "散列钻机取出来。

当然，前提是密码至少有8个字符，并且遵循规定的惯例(至少包括一个数字和一个特殊字符)。然而，当HashCat被驱动来测试最常用的密码时，它可以将理论上48分钟的破解操作(尝试所有2000亿种可能的组合)降低到毫秒级的范围。不过，这也是意料之中的事：即使是人，在破解像 "123456 "这样的密码时也会非常快--显然这是2021年最常见的密码(在新标签中打开)。

另一个值得注意的因素是，密码破解自然有相关的成本;投资1600美元的RTX 4090是有成本的，每次尝试破解密码也会产生在电力成本。所以这不仅仅是一个意志问题。RTX 4090所做的是降低实际破解密码的成本--只要更强大的GPU问世，而安全算法保持相对静止，就会出现这种情况。Sam Croley在他的博文中进行了极为详细和有趣的分析，详细介绍了他对美元/哈希比率的发现。

当然，网络安全的另一个筹码是需要加密的数据量，以应对不可阻挡的量子计算的发展--计算机将使几乎所有目前使用的加密方案变得不可行。然而，看看仅用GPU破解密码的成本下降，似乎目前的安全应该尽早升级到更新的、后量子算法。

放松--不是每个RTX 4090的拥有者都会把他们的顶级显卡转向密码破解的消遣。此外，像HashCat这样容易破解密码的工具通常是针对离线资产部署的，而不是在线资产。这意味着，你的电脑成为疯狂的RTX 4090拥有者随意破解密码的目标的可能性很小--小到几乎不存在。

然而，鉴于这一点，也许仍然是一个好主意，从在最好的密码管理器中存储较长的密码开始，刷新在线安全最佳做法。