IT之家 5 月 11 日消息,网络安全公司 Hive Systems 近日发布了其 2025 年密码表,这是该公司每年对密码破解的难度分析报告,该报告揭示了在当前计算能力下,不同复杂度的密码被破解所需的时间,为用户提供了密码安全的重要参考。
根据 Hive Systems 的分析,尽管如今的计算能力日益强大,但对于普通用户来说,只要在密码中增加一些额外的字符,就能大幅提升密码的安全性。报告指出,良好的密码安全实践包括使用较长的密码,并且为每个账户或服务设置不同的密码。理想情况下,密码应包含数字、小写字母、大写字母和符号。
据IT之家了解,此次分析模拟了一个较为成功的黑客攻击场景,假设攻击者使用了 12 块 Nvidia GeForce RTX 5090 显卡。Hive Systems 表示,12 块显卡是目前消费者能够获取的最佳硬件配置,且不会阻碍运行用于暴力破解密码的工具。该公司此前对 RTX 4090 显卡的分析也得出了类似的结论。
如今,大多数网站和服务都使用 Bcrypt 算法来对用户的明文密码进行“哈希”处理,Hive Systems 此次分析的就是显卡对这种哈希密码的破解能力。哈希处理是将用户的明文密码转换为另一种形式,即使攻击者入侵存储哈希值的服务器,他们也只能看到哈希值,而无法直接获取密码。哈希软件的设计是单向的,无法逆向工程。
2025 年的密码表展示了 12 块 Nvidia GeForce RTX 5090 显卡暴力破解密码所需的时间,值得注意的是,报告中的破解时间数据代表了一种最坏的情况,即假设攻击者的破解软件需要尝试所有可能的值,用户的密码恰好是最后一个被猜中的。
结果显示,12 张 RTX 5090 显卡能够在 15 分钟内破解仅由数字组成的八位密码。而对于由八个小写字母组成的密码,12 张 RTX 5090 显卡需要花费 3 周时间才能破解。然而,当密码中同时包含数字、大小写字母时,破解难度大幅提升,12 张 RTX 5090 显卡需要 62 年才能破解;若再加入符号,破解时间将延长至 164 年。
由此可见,增加密码字符集的多样性是一种有效的安全策略。此外,增加密码的字符长度也能显著提升安全性。例如,如果密码有 18 个字符,即使这些字符仅是数字,12 块顶级显卡也需要 28.4 万年才能破解。字符长度的增加会使破解难度呈指数级上升。例如,一个由 13 个数字组成的密码,显卡需要 3 年才能破解,而增加一个数字后,破解时间将延长至 28 年,再增加一个数字则延长至 284 年。
美国国家标准与技术研究院(NIST)仍建议密码的最小字符数为 15 个。这一建议是合理的,因为 15 个字符的密码破解时间将远远超出一个人的寿命。
对于那些需要防御更强大计算能力攻击的用户,Hive Systems 还分析了用于训练 ChatGPT-4 的硬件(2 万块 Nvidia A100 服务器显卡)破解密码所需的时间。即使使用这种硬件,破解一个 18 个字符的纯数字密码也需要 388 年,而 17 个字符需要 39 年,16 个字符需要 4 年,这再次证明增加密码字符数的重要性。
总之,如果用户使用的是弱密码,那么在当前的计算时代,许多攻击者确实能够利用相对标准(尽管昂贵)的计算能力成功破解密码。但如果用户使用长密码,并包含小写字母、大写字母、数字和符号,那么在暴力破解方面,用户则无需过于担忧。
