C’est le moment idéal pour faire un bilan de santé de vos pratiques de sécurité des mots de passe. Bien qu’il soit intéressant de souligner que huit cartes Nvidia RTX 4090 peuvent casser la longueur de mot de passe la plus populaire en moins d’une heure, il est plus important de savoir que le coût de cassage des mots de passe a chuté à chaque nouvelle génération.
L’utilisateur de Twitter Chick3nman est de retour, montrant juste ceci : il a récemment testé la meilleure carte graphique actuelle et a découvert qu’un seul RTX 4090 offre des performances de référence Hashcat environ huit fois supérieures au score obtenu par huit GTX 1080. C’est aussi presque deux fois plus rapide que le RTX 3090 de la génération précédente de Nvidia.
Premiers benchmarks @hashcat sur la nouvelle @nvidia RTX 4090 ! Arrive à une augmentation insensée> 2x par rapport au 3090 pour presque tous les algorithmes. Facilement capable d’établir des records : 300 GH/s NTLM et 200 kh/s bcrypt avec OC ! Merci à blazer pour la course. Repères complets ici: https://t.co/Bftucib7P9 pic.twitter.com/KHV5yCUkV414 octobre 2022
Hashcat est un logiciel spécialisé utilisé pour tester les performances cryptographiques des cartes graphiques – ce qui peut signifier à la fois le cryptage et le décryptage. Et parce que les cartes graphiques sont des moteurs hautement parallèles, elles sont particulièrement adaptées aux tâches cryptographiques, où les performances sont calculées à des hachages par seconde. Après tout, c’est de là que vient la crise du minage du GPU qui a duré la majeure partie de la vie de la série 30 : des améliorations explosives des performances par watt (avec une augmentation des prix d’Ethereum).
Bien sûr, les cartes graphiques sont également capables de trouver le mot de passe correct en essayant toutes les combinaisons possibles, ce qu’on appelle une attaque par force brute. Il existe 96 ^ 8 possibilités pour un mot de passe à 8 caractères, et c’est ce que la carte graphique doit essayer de casser. C’est un nombre incroyablement élevé, à 16 chiffres. Mais ils réussissent. Huit des nouvelles cartes peuvent déchiffrer ce mot de passe à 8 chiffres en 48 minutes, après tout. Le coût n’est pas négligeable, mais encore une fois, il est inférieur à ce que nous imaginions probablement qu’il soit.
Les performances de calcul ont augmenté à des taux beaucoup plus élevés que le rendu graphique pur. À 4K, la résolution la plus exigeante disponible, la RTX 2080 Ti est environ 26 % plus rapide que la GTX 1080 Ti. Le saut générationnel a rendu le RTX 3090 33% plus rapide que le RTX 2080 Ti, et le RTX 4090 augmente encore les performances générationnelles avec son augmentation de 33%.
Cela se produit (en partie) parce que Nvidia est une société d’unités de traitement graphique, pas seulement une entreprise de jeux. Depuis des générations, Nvidia a de plus en plus adapté ses cartes graphiques aux charges de travail des centres de données, en développant et en ajoutant des solutions matérielles (telles que Tensor Cores) pour les accélérer. Le matériel des centres de données atteignant un ASP (prix de vente moyen) beaucoup plus élevé que celui des produits grand public tels que les cartes graphiques de jeu, il n’est pas étonnant que les performances de calcul aient augmenté à des taux plus élevés que le rendu graphique dans le même laps de temps. Voici comment les performances graphiques se sont améliorées sur les GPU haut de gamme de Nvidia, d’une génération à l’autre :
| Augmentation des performances graphiques | |
| RTX 4090 | +39% |
| RTX 3090 | +33% |
| RTX 2080Ti | +26% |
| GTX 1080Ti | Ligne de base |
En attendant, les performances Hashcat du RTX 4090 sont 800 % supérieures à celles du GTX 1080. Certes, le RTX 4090 testé a été overclocké, mais il n’y a que des performances supplémentaires que vous pouvez générer sans compromettre l’efficacité énergétique.
Cette augmentation des performances de calcul cryptographique est ce qui permet de réduire la somme d’argent qu’un pirate devrait dépenser pour déchiffrer un mot de passe. N’oubliez pas que le pirate informatique doit également investir dans des cartes graphiques (dont les prix n’ont fait qu’augmenter au fil des générations). Cette personne doit en outre gérer les coûts d’électricité et de temps de travail pour déchiffrer ce mot de passe à huit caractères (d’ailleurs, la longueur de mot de passe la plus courante au monde en 2017 était exactement de huit caractères (s’ouvre dans un nouvel onglet)). Plus le coût de piratage est faible, plus il devient intéressant de pirater un mot de passe particulier. Et le RTX 4090 réduit de moitié ce coût, malgré son PDSF de 1 599 $.
Fait intéressant, Nvidia a mené en toute sécurité la course aux performances Hashcat. Le RTX 4090 peut être presque deux fois plus rapide que le RTX 3090 sur toutes les charges de travail, mais il est trois fois plus rapide que le RX 6900 XT d’AMD. Bien sûr, les choses pourraient changer avec les cartes AMD basées sur RDNA3 (nous en saurons plus d’ici le 3 novembre) ; mais Nvidia bénéficie actuellement d’une avance considérable ici.
Il est important de mentionner que vos mots de passe en ligne, ou les mots de passe protégés par une authentification à deux facteurs, ne sont pas ceux dont il est question ici : ceux-ci ont généralement des mécanismes qui empêchent les attaques par force brute de fonctionner. Ce type d’attaque est principalement dirigé contre le craquage de mot de passe hors ligne, où certains scénarios permettent même de tenter ces millions de tentatives. Mais certains scénarios, tels que les fuites de données, pourraient voir les mots de passe exposés : soit directement visibles, sous forme de texte brut, soit sous forme de hachage codé. Ces hachages codés (le brouillage résultant du processus de cryptage) sont les données cryptées que le GPU doit ensuite désosser vers votre mot de passe réel.
Les mots de passe sont l’un des maux nécessaires d’un monde technologique, la seule chose qui se dresse entre un pirate informatique et n’importe quel élément numérique qui se trouve de l’autre côté de la fenêtre de saisie. Mais au fur et à mesure que le temps passe et que le coût pour déchiffrer un mot de passe protégeant la vie privée chute, il est peut-être sage de suivre le rythme et d’adapter nos mesures de sécurité de manière adéquate. Une bonne façon de commencer serait simplement d’augmenter la longueur des mots de passe plutôt que d’augmenter la complexité de la mémorisation : des phrases secrètes de chaînes de mots comme « votre mot de passe ne devrait pas être déchiffré », ainsi que des caractères spéciaux et/ou l’utilisation de l’un des meilleurs gestionnaires de mots de passe peuvent être la réponse. .