Amazon EC2 の新メニュー「クラスタ GPU インスタンス」でパスワードクラック 13
クラスタ GPU インスタンスはすごいな 部門より
Amazon が提供しているクラウド型の計算リソース提供サービス Amazon EC2 のメニューに、新しく「クラスタ GPU インスタンス」が追加となった。この強力な計算リソースを、早速パスワードクラックに使ってみた人が出たようだ (stacksmashing.net の記事、本家 /. 記事より) 。
Amazon EC2 の新メニュー「クラスタ GPU インスタンス」では、1 インスタンスあたり CPU: Xeon X5570 x2、メモリ: 22 GB、ストレージ: 1.69 TB に加え、NVIDIA Tesla M2050 x2 が割り当てられ、1 時間 2 ドル 10 セント (EC2 とのデータ転送料金等は別途) で利用することができる (Internet Watch の記事) 。この計算リソースを利用して今回試みられたのは、14 個の SHA1 ハッシュの値 (リスト) から元のパスワードを見つけ出す作業。結果、6 文字以内の短いパスワードによる 10 個のハッシュ値について元のパスワードを見つけ出すことに成功した、と報告されている。計算のために要した時間は 49 分、つまり利用料は 2 ドル 10 セントに収まっている。
なお、内容についてみてみると GPGPU によって力任せにパスワードを見つけ出すという単純な手法であり、どちらかといえば計算パワーを示すデモにすぎない。辞書を使っていないため、7 文字以上ではあるが単純なパスワード (たとえば 'password' や 'cryptohaze') については検出できていない。計算量としても個人 PC で実現不可能という規模ではない。要は「短いパスワードは安全でない」というごく当たり前の事実を提示しているだけである。
とはいえ、大きな計算リソースを使う作業のために自前で高性能な計算機を用意することなく、安価なクラウド型のサービスを利用してほいほいできてしまうとは、なかなか恐ろしい時代になったものである。
どなたでもスパコン貸します (スコア:5, 参考になる)
確かに、なんの理由も問われず誰でも借りれるってのは怖くもあり、面白くもあり。
ちなみに地球シミュレータは、1ノード1時間あたり4千円で借りれるらしい。
こちらは誰でもってわけじゃないみたいだけどね。
http://portal.nifty.com/2009/11/14/a/ [nifty.com]
リンク閉じ忘れ (Internet Watch の記事) (スコア:1)
>6 文字以内の短いパスワードによる 10 個のハッシュ値について元のパスワードを見つけ出すことに成功した、と報告されている。
8文字以上推奨とか、たまに書かれているけど、8文字だといくらでとけるのかな?
>大きな計算リソースを使う作業のために自前で高性能な計算機を用意することなく、安価なクラウド型のサービスを利用してほいほいできてしまうとは、なかなか恐ろしい時代になったものである。
つまり、2ドル程度以下の価値がないとしたら、6文字以下でもええのとちゃうか?ということで、何文字だったらいくらぐらいで解けちゃうの概算って算出できないのかな?
Re: (スコア:0)
> 8文字だといくらでとけるのかな?
・6文字から2文字長くなる
・アルファベットは大文字小文字を区別
・0〜9の数字も含む
・記号は含まない
と条件を決めた場合、(26x2+10)の2乗で、2,704倍となる。
それに49分を掛けると約2,200時間=92日
# 掛け算についてうるさく言われるのがいやなので、AC
Re:リンク閉じ忘れ (Internet Watch の記事) (スコア:1)
>約2,200時間=92日
安くするには、奪いたいパスの多数のハッシュを集めて一気に解かせるかな?
そして、長時間割引もあるみたいなので、それを利用すると、
FreeTierとか組み合わせると、100日程度でも、1000ドルから2000ドル程度かな?
1000個のハッシュで、8文字以内なら全部だすよだと、
一個あたり、数百円だとかになりそう。
Re: (スコア:0)
ですね.けっこう現実的...
Re:リンク閉じ忘れ (Internet Watch の記事) (スコア:5, 参考になる)
今回の試みでは総当たりでチェックしているようなので、パスワードが1文字増えるごとに文字種の数の分だけ計算コストが増えます。7文字くらいまでならともかく、8文字になるとだいぶ料金が発生してしまいますね。9文字以上はさすがに厳しそうです。saltを加えたら手も足も出ないでしょう。
以下、今回使われたハッシュのリストと、EC2でのクラック(?)成否、元のパスワードです。
# 元ネタの人が検出できなかったパスワードについては、私が夜なべして見つけました。:-)
本家でも指摘されていますが、面白いことにリストの最後、これは空文字のSHA1ハッシュ値なのですが、こいつが検出できていないんです。つまり、一番簡単なはずの空文字についてはチェックしていなかったんですね。
とまあ、今回やっていることの内容は計算デモといった趣で、「これをパスワードクラックというにはちょっと素朴すぎるかなあ」という印象ではあります。とはいえ、EC2ではストレージ領域もそれなりに用意されているので、辞書と組み合わせてあれやこれやすることも可能でしょうね。
Re:リンク閉じ忘れ (Internet Watch の記事) (スコア:1)
単純に0バイト入力を取り洩らした可能性も無いではないですが、こういうことする人がそんなミスしてそれを確認もしないなんてのはちょっと変です。
多分、シノニムの検索ではないでしょうか。
BBSの投稿パスなどの簡易パスワードの場合、パスワード設定状況フラグを設けずに認証時に空パスワードのみ弾く形式の物もチラホラ存在します。
こういったシステムの場合、1バイト以上で空文字列と同様のハッシュを生成するキーワードがあると色々とアレゲなことが出来ます。
他にも0バイト入力のハッシュは応用例があるとは思いますが、そういう話だと思ったほうがいいかと思います。
Re: (スコア:0, オフトピック)
修正しました。ご指摘 thx。
Hiroki (REO) Kashiwazaki
tsubameのRENKEIプロジェクト (スコア:1, 興味深い)
引用開始
これまで国内では、スパコンの計算能力向上に多くの労力が割かれてきました。もちろん、それはそれで大事なことであり、本学でも現在TSUBAMEの後継機となる「TSUBAME2」の開発に取り組んでいます。しかし、いくら計算だけが速くても、それだけでは充分とは言えません。e-サイエンスの進化を促すためには、大量のデータを「蓄積できる」「高速に読み書きできる」「処理できる」「転送できる」データ基盤が存在するということも同じくらい重要なのです。
引用終了
CPUとの比較が欲しい (スコア:0)
Re: (スコア:0)
一般人が簡単に使うことができないマシンならともかく、Amazonは登録さえすれば安価に使えますよ。
Re:CPUとの比較が欲しい (スコア:1)
>一般人が簡単に使うことができないマシンならともかく、Amazonは登録さえすれば安価に使えますよ。
たぶん、元はamazon EC2さんの、GPU無し(結構安い)のとかもっと無茶に安い [impress.co.jp]のとかの比較を言っているのではないかな?
計算力云々のまえに、実際にそれが自分のところで必要なのか?とか、必要だったら使えるのか?試す?といった費用も、会社さんとして規模が大きいと、コストがかかったりするからね。
単にパフォーマンス割りが出来ないという面がある。