In den letzten Jahren hat sich die Rechenkapazität mit einer schnellen Geschwindigkeit erhöht: die Explosion künstlicher Intelligenz hat enorme Investitionen in GPUs und spezifische Beschleuniger getrieben, und Hersteller konkurrieren, um immer mächtigere Chips anzubieten, um riesige Sprachmodelle zu trainieren. Angesichts dieses Wachstums stellt sich für Sicherheitsteams eine legitime Frage: Wenn diese Welle von IA kalt wird und diese Karten untergenutzt werden, könnten die Angreifer sie neu ausrichten, um Passwörter zu brechen? Und wenn ja, bedeutet das, dass Passwörter verloren gehen?
Um diese Hypothese anzugehen, haben wir einen praktischen Vergleich zwischen zwei Rechenzentrumsbeschleunigern und einer High-End-Verbrauchskarte gemacht: die Nvidia H200 und die AMD MI300X gegen einen Maximum-Range-Verbrauch GPU (genannt in den Tests als RTX 5090). Der Test war einfach: um die Geschwindigkeit zu messen, mit der jede Karte mit Hashcat Passwort Hashes berechnen kann, das am weitesten verbreitete Werkzeug für die Passwortwiederherstellung und -prüfung ( Das ist gut.), und verwenden Sie diese Daten als Proxy seiner Fähigkeit, Millionen oder Milliarden von Kandidaten pro Sekunde zu testen.
Hashcat enthält einen Benchmark-Modus, der die Rohleistung verschiedener Geräte in unterschiedlichen Hash-Algorithmen vergleicht. Wir wählen Algorithmen, die in Unternehmensumgebungen vorhanden bleiben: MD5 und NTLM als Beispiele für alte und schnelle Funktionen, bcrypt als Vertreter von Funktionen, die teuer gestaltet werden, und SHA-256 und SHA-512 als moderne Hashfamilien, die noch in vielen Systemen sind. Die Begründung ist einfach: Die Wirksamkeit eines brutalen Kraftangriffs hängt davon ab, wie viele Hasen die Maschine pro Sekunde erzeugen und überprüfen kann.
Die Ergebnisse zeigten. Bei allen Tests überstieg die Verbraucherkarte die Rechenzentrumsbeschleuniger in Hash-Generationsgeschwindigkeit. In der Praxis hat der Verbrauch GPU im Vergleich zu H200 und MI300X höhere Hashraten - in einigen Fällen fast doppelt - verzeichnet. Wenn auch die Kosten verglichen werden, wird die Differenz noch markanter: Rechenzentrumskarten können einen sehr hohen Anteil mehr als einen Verbrauch GPU kosten, ohne dass dies zu einem proportionalen Vorteil beim Bruch von Hasen führt.
Diese Erkenntnis ist nicht völlig überraschend, wenn man bedenkt, wie diese Verarbeitungsfamilien gestaltet sind: IA-Beschleuniger sind für Floating-Point-Rechnungen und spezifische Batch-Größen und Memory-Modell-Training optimiert, während Massen Hashing-Routinen mit Werkzeugen wie Hashcat Vorteile von Arten von Operationen und Speicherarchitekturen, die in vielen Fällen besser von Verbraucher-GPUs verwendet werden. Dieser architektonische Unterschied übersetzt die beobachtete Leistung.
Eine historische Daten hilft, sie in die Perspektive zu setzen: 2017 hat IBM ein Rig mit acht Nvidia GTX montiert 1080 - die GPU des damaligen Punktverbrauchs - die Rißraten in NTLM vergleichbar mit denen erreicht, die heute viel teurere Beschleuniger erreichen ( IBM Artikel) Dies zeigt, dass exotische Chips nicht benötigt werden, um echte Kapazität, um Passwörter zu brechen: gut montiert Verbrauch Hardware bleibt sehr effizient für diese Aufgabe.
Was bedeutet das für die Verteidigung einer Organisation? Erstens ist die eigentliche Bedrohung nicht unbedingt die Ankunft eines IA-Beschleunigers an den Händen von Angreifern, sondern die Existenz von schwachen Passwörtern und die Wiederverwendung von Anmeldeinformationen. Ein brutaler Kraftangriff ist schließlich ein Volumenproblem: bei höherer Hashgeschwindigkeit pro Sekunde werden schnellere Kombinationen erforscht. In praktischen Tests bleiben kurze und vorhersehbare Passwörter in relativ kurzen Zeiten mit Hardware wiederherstellbar heute.
Aus diesem Grund ist es notwendig, sich auf bewährte Maßnahmen zu konzentrieren, anstatt einen hypothetischen Massenneustart von Rißbeschleunigern zu befürchten: Länge über der scheinbaren Komplexität zu fördern und Passphrasen zu übernehmen. Referenz-Führungen wie der NIST-Standard empfehlen, die Länge zu priorisieren und Passwörterphrasen zuzulassen, die für Benutzer ( NIST SP 800-63B), weil ein 15-Charakter-Passwort gut gewählt multipliziert exponentiell die Zeit, die benötigt wird, um es bis zu unpraktischen Skalen auch mit leistungsstarker Hardware zu brechen.
Ein weiteres höheres Risiko als reine Brute-Kraft ist das von Anmeldeinformationen, die bereits in früheren Lücken und der Wiederverwendung von Passwörtern ausgesetzt sind. Berichte wie Verizon Data Breach Untersuchungsbericht zeigen, dass die gestohlenen Anmeldeinformationen an einem wesentlichen Bruchteil von Intrusionen beteiligt sind. Wenn ein Angreifer gefilterte Anmeldeinformationen an eine bestimmte Person verlinkt, ist es einfach, diese gleichen Kombinationen gegen Unternehmenssysteme auszuprobieren; es gibt Märkte und Akteure, die sich auf den Verkauf und die Verwendung solcher Erstzugänge spezialisiert haben.
In der Praxis macht dies eine frühzeitige Erkennung und Vorbeugung der Verwendung von kompromittierten Passwörtern so wichtig wie die Längenanforderung. Tools, die Passwörter im Einsatz mit gefilterten Anmeldedatenbanken vergleichen und Benutzer dazu zwingen, sich zu ändern, wenn ihr Passwort auf diesen Listen erscheint, die sehr häufige und effektive Angriffswege blockieren.
Natürlich sollten Passwörter nicht die einzige Barriere sein. Die weit verbreitete Annahme von Multifaktor-Authentifizierung (MFA) reduziert die Auswirkungen eines Kompromiss-Passworts drastisch, da es einen zusätzlichen Faktor hinzufügt, dass der Angreifer nicht einfach den Schlüssel kennen muss. Implementierung, die MFA bei Remote Start-up erweitern, RDP und VPN schließen Vektoren, die weiterhin regelmäßig genutzt werden.
Für Organisationen, die konkrete Lösungen suchen, gibt es Produkte, die sowohl die Passwortpolitik als auch den Schutz vor engagierten Anmeldeinformationen und die Integration mit Zugriffskontrollen ansprechen. Ein Beispiel ist Password Policy Spacups, die es Ihnen ermöglicht, Regeln körniger als Active Directory-Regeln aufzuzwingen und Benutzern Feedback zu geben, um robuste Passwörter zu erstellen; Ihr Filtered Password Protection-Modul vergleicht kontinuierlich Konten mit großen Passwort-Repositories ( Speeren Passwort-Richtlinie) Ergänzungen wie Spacups Secure Access ergänzen Schutzschichten für Remote Access ( Spacups Sicherer Zugang)
Kurz gesagt, die praktische Lektion ist doppelt: einerseits die Angst, dass teure IA-Beschleuniger Passwörter in veraltet verwandeln, ist jetzt übertrieben; die Verbraucherhardware bietet bereits die Fähigkeit, dass Angreifer schwache Passwörter ausnutzen müssen. Andererseits hängt die effektive Verteidigung weniger von der Sorge ab, warum GPU einen Angreifer und mehr robuste Richtlinien verwenden könnte: lange Passwörter oder Passphrasen, Erkennung von engagierten Anmeldeinformationen und MFA-Bereitstellung. Diese Maßnahmen sind diejenigen, die wirklich die Kosten eines Angriffs auf Ebenen drücken, wo es nicht mehr rentabel sein wird.
Wenn Ihre Organisation immer noch alten Komplexitätsregeln oder kurzen Passwörtern vertraut, ist die Zeit, die Strategie zu überprüfen jetzt: die Hygiene der Anmeldeinformationen zu stärken und Schichten der Überprüfung hinzuzufügen, was die Konten wirklich sicher gegen die Rechenressourcen machen wird, die den Angreifern zur Verfügung stehen (und werden).
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...