Sicherheit ist nur eine Frage des Aufwandes der betrieben werden soll. Dies gilt für beide Seiten, also denjenigen, der Sicherheit herstellen will und solche, welche diese Barriere durchbrechen wollen. Auf der Konferenz Passwords^12 stellte Jeremi Gosney nun ein GPU-Cluster vor, welches Passwörter in wenigen Sekunden knacken kann.

In der aktuellen Version arbeiten in diesem Cluster 128 GPUs, verteilt auf 14 Grafikkarten. Untergebracht ist dies in einem 4U-Server, der bis zu sechs Kilowatt verbraucht.

180 Milliarden MD5-Hashes pro Sekunde können damit geprüft werden. Möglich sind aber auch 63 Milliarden SHA1-Hashes. Die wesentlich komplexeren Bcrypt- und Sha512cryt-Hashes erledigt das Cluster mit 71.000 bzw. 364.000 Kombinationen pro Sekunde. Interessant sind aber die sogenannten LM- und NTLM-Hashes, da diese zur Authentifizierung der Windows-Passwörter verwendet werden.

348 Milliarden NTLM-Hashes schafft das Cluster pro Sekunde und knackt ein acht Zeichen langes Passwort in weniger als sechs Sekunden. Die weniger auf LM-Hashes ausgelegte Software erreicht hier 20 Milliarden Hashes pro Sekunde, was ein 14 Zeichen langes Passwort in sechs Minuten knacken lässt.

Es vergehen also teilweise mehrere Minuten, um ein Passwort zu knacken, was Echtzeit-Angriffe nur schwer möglich ist. Listen mit verschlüsselten Passwörtern sind aber weniger zeitkritisch und lassen sich somit analysieren. In diesem Bereich hat sich Jeremi Gosney auch bereits einen Namen gemacht und rund 90 Prozent von 6,5 Millionen LinkedIn-Passwörtern geknackt.

Angriffspunkte sind immer wieder veraltete Hash-Algorithmen, die aufgrund der Abwärtskompatibilität noch immer verwendet werden. Ein Beispiels sind die bereits erwähnten LM- und NTLM-Hashes für Windows 8 und Windows Server 2012, mit denen Microsoft schon seit Windows-NT-Zeiten arbeitet.