Nos últimos anos, a capacidade computacional subiu a uma velocidade vertiginosa: a explosão da inteligência artificial levou enormes investimentos em GPUs e aceleradores específicos, e os fabricantes competem por oferecer chips cada vez mais poderosos para treinar modelos de linguagem gigante. Diante desse crescimento surge uma pergunta legítima para as equipes de segurança: se essa onda de IA se enfria e esses cartões ficam subutilizadas, poderiam os atacantes reorientar para quebrar senhas? E, em caso afirmativo, isso significa que as palavras-passe estão condenadas a desaparecer?
Para abordar essa hipótese, fizemos uma comparação prática entre dois aceleradores de centro de dados e um cartão de consumo de alta gama: a Nvidia H200 e a AMD MI300X versus uma GPU de consumo de máxima gama (mencionada nos testes como RTX 5090). O teste foi simples: medir a velocidade com que cada cartão pode calcular hashes de senhas usando o Hashcat, a ferramenta mais estendida para recuperação e auditoria de senhas ( hashcat.net) e usar esse dado como proxy de sua capacidade para testar milhões ou milhares de milhões de candidatos por segundo.
Hashcat incorpora um modo benchmark que permite comparar o desempenho raw de diferentes dispositivos em diferentes algoritmos de hash. Escolhemos algoritmos que continuam presentes em ambientes corporativos: MD5 e NTLM como exemplos de funções antigas e rápidas, bcrypt como representante de funções concebidas para serem caras, e SHA-256 e SHA-512 como famílias de hash modernas que ainda estão em muitos sistemas. O raciocínio é simples: a eficácia de um ataque por força bruta depende da quantidade de hashes que a máquina possa gerar e testar por segundo.
Os resultados foram reveladores. Em todos os testes, o cartão de consumo superou os aceleradores de centro de dados em velocidade de geração de hashes. Em termos práticos, a GPU de consumo marcou taxas de hash superiores – em alguns casos quase o dobro – frente à H200 e à MI300X. Se além disso se comparar o custo, a diferença torna-se ainda mais chamativa: os cartões de centro de dados podem custar uma fração muito elevada mais que uma GPU de consumo, sem que isso se traduza em uma vantagem proporcional à hora de quebrar hashes.
Este achado não é completamente surpreendente se considerarmos como estas famílias de processadores são desenhadas: os aceleradores de IA são otimizados para computação de ponto flutuante e tamanhos de lote e memória específicos de treinamento de modelos, enquanto as rotinas de hashing massiva que usam ferramentas como Hashcat aproveitam tipos de operações e arquiteturas de memória que em muitos casos estão melhor aproveitadas pelas GPUs de consumo. Essa diferença arquitetônica traduz-se no desempenho observado.
Um dado histórico ajuda a colocá-lo em perspectiva: em 2017 a IBM montou um rig com oito Nvidia GTX 1080 — a GPU de consumo puntera de então — que conseguiu taxas de cracking em NTLM comparáveis às que atingem hoje aceleradores muito mais caros ( artigo da IBM). Isso demonstra que não fazem falta chips exóticos para obter capacidade real para quebrar senhas: hardware de consumo bem montado continua sendo muito eficiente para essa tarefa.
O que isso significa para as defesas de uma organização? Primeiro, que a ameaça real não é necessariamente a chegada de um acelerador de IA às mãos de atacantes, mas a existência de palavras-passe fracas e a reutilização de credenciais. Um ataque por força bruta é, no final, um problema de volume: a maior velocidade de hashes por segundo, mais rápido são exploradas combinações. Em testes práticos, senhas curtas e previsíveis ainda são recuperáveis em tempos relativamente curtos com hardware disponível hoje.
Por isso, mais do que temer um hipotético reinício massivo de aceleradores para cracking, convém concentrar-se em medidas testadas: incentivar o comprimento acima da complexidade aparente e adotar passphrases. Os guias de referência como o padrão NIST recomendam priorizar o comprimento e permitir frases de senha que sejam memoráveis para os usuários ( NIST SP 800-63B), porque uma senha de 15 caracteres bem escolhida multiplica exponencialmente o tempo necessário para romper até escalas impráticas mesmo com hardware potente.
Outro risco maior que o brute force puro é o das credenciais já expostas em lacunas anteriores e a reutilização de senhas. Relatórios como o Verizon Data Breach Investigations Report mostram que as credenciais roubadas participam numa fração substancial de invasões. Se um atacante vincula credenciais filtradas a uma pessoa concreta, é fácil tentar essas mesmas combinações contra sistemas corporativos; existem mercados e atores especializados em vender e usar esse tipo de acesso inicial.
Na prática, isso faz com que a detecção precoce e a prevenção de uso de senhas comprometidas seja tão importante quanto a exigência de comprimento. Ferramentas que comparam as senhas em uso com bases de dados de credenciais filtradas e que obrigam os usuários a mudar se sua senha aparece nessas listas acabam bloqueando vias de ataque muito frequentes e eficazes.
Claro que as palavras-passe não devem ser a única barreira. A adoção generalizada da autenticação multifator (MFA) reduz dramaticamente o impacto de uma senha comprometida, porque acrescenta um fator adicional que o atacante não terá simplesmente por conhecer a chave. Implementações que estendem MFA no início de sessão remota, RDP e VPN fecham vetores que continuam sendo explorados habitualmente.
Para organizações que buscam soluções concretas, existem produtos que abordam tanto a política de senhas como a proteção contra credenciais comprometidas e a integração com controles de acesso. Um exemplo é Specops Password Policy, que permite impor regras mais granularmente do que as do Active Directory e fornecer feedback aos usuários para criar senhas robustas; seu módulo de proteção contra senhas filtradas compara continuamente as contas com grandes repositórios de senhas comprometidas ( Specops Password Policy). Plugins como Specops Secure Access adicionam camadas de proteção para acessos remotos ( Specops Secure Access).
Em suma, a lição prática é dupla: por um lado, o medo de que aceleradores de IA caros convertam as senhas obsoletas está, por agora, exagerado; o hardware de consumo já oferece a capacidade que os atacantes precisam para explorar palavras-passe fracas. Por outro lado, a defesa efetiva depende menos de se preocupar com o que GPU poderia usar um atacante e mais de políticas robustas: senhas longas ou passphrases, detecção de credenciais comprometidas e implantação de MFA. Essas medidas são as que realmente levam o custo de um ataque a níveis em que deixará de ser rentável.
Se a sua organização ainda confiar em regras de complexidade antigas ou em palavras-passe curtas, o momento de rever a estratégia é agora: reforçar a higiene de credenciais e adicionar camadas de verificação é o que realmente fará com que as contas sejam seguras diante dos recursos computacionais que hoje estão (e estarão) disponíveis aos atacantes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...