ที่ประชุมวิชาการ Password^12 บริษัท Stricture Consulting Group ได้นำเสนอการสร้างคลัสเตอร์ GPU เจาะรหัสผ่าน NTLM ทุกรูปแบบที่เป็นไปได้ของตัวอักษรเล็ก/ใหญ่, ตัวเลข, และสัญลักษณ์ที่ความยาวไม่เกิน 8 อักขระ ได้ในเวลาเพียง 5.5 ชั่วโมงเท่านั้น
หัวใจของโครงการนี้คือ VCL ที่สร้างให้ลินุกซ์ที่รันแอพพลิเคชั่น OpenCL สามารถรันบนคลัสเตอร์ได้เหมือนรันบนเครื่องเดียวกัน มีข้อจำกัดเพียงแค่เครื่องหลักต้องมีหน่วยความจำมากๆ กับเน็ตเวิร์คต้องมี latency ต่ำๆ เท่านั้น
ปัญหาของ NTLM คือ มันเป็นอัลกอริทึมแฮชที่ทำงานได้เร็วเกินไป คลัสเตอร์ที่ใช้การ์ดกราฟิก 25 คอร์สามารถแฮชได้ถึง 350 พันล้านแฮชต่อวินาที ขณะที่อัลกอลิทึมที่ช้าๆ เช่น bcrypt สามารถทำได้เพียง 71,000 แฮชต่อวินาทีเท่านั้น
ผลของความเร็วในการแฮชทำให้ทีมวิจัยสามารถแฮชรหัสผ่านทุกรูปแบบที่เป็นไปได้ของ NTLM จำนวน 95^8 กรณีได้ในเวลาเพียง 5.5 ชั่วโมง
แม้การอัลกอริทึมการแฮชส่วนมากจะมีขนาดแฮชใหญ่พอ (เช่น SHA512 มี 512 บิต) แต่รหัสผ่านที่คนกำหนดจริงมักไม่ใหญ่ขนาดนั้น ฟังก์ชั่นแฮชที่ทำงานได้เร็วจะทำให้แฮกเกอร์สามารถค้นหาค่าแฮชทุกค่าที่เป็นไปได้ภายใต้ความยาวที่กำหนดและย้อนกลับมาเป็นรหัสผ่านในกรณีที่รู้ค่าแฮช เช่น กรณีฐานข้อมูลรั่วไหล หรือกระทั่งถูกโจมตีโดยผู้ดูแลระบบ หรือผู้ดูแลข้อมูลสำรองที่อาจจะเห็นค่าแฮชเองได้ มาตรฐานการแฮชรหัสผ่านจึงต้องใช้ฟังก์ชั่นแฮชตระกูล crypt เช่น bcrypt, sha512crypt, หรือ PBKDF2
ที่มา - ArsTechnica, Password^12 (PDF)