5月7日世界密码日当天,全球网络安全厂商卡巴斯基发布最新密码安全报告,针对暗网泄露的2.31亿条MD5哈希密码展开测试,发现单张英伟达RTX5090显卡能在一小时内破解其中60%的密码——这一比例比两年前的测试结果高了1%,意味着又有数百万条密码变得更容易被破解。报告直指MD5算法的固有缺陷,呼吁企业和个人尽快淘汰该算法,转向更安全的密码存储方案。
作为英伟达2024年推出的旗舰消费级显卡,RTX5090搭载AD102 GPU核心,拥有18432个CUDA核心,FP32单精度算力达73 TFLOPS。这种强大的并行计算能力,正好为暴力破解哈希密码提供了硬件支撑。测试中,卡巴斯基团队利用RTX5090的CUDA核心并行处理特性,对目标MD5哈希值进行穷举式匹配:生成大量可能的明文密码、计算其哈希值,再与暗网泄露的哈希数据对比,最终实现高效破解。
MD5算法是1991年推出的128位哈希函数,因计算速度快、实现简单曾被广泛用于密码存储,但随着硬件算力提升,它缺乏抗碰撞性、易被暴力破解的弱点逐渐暴露。卡巴斯基报告指出,MD5在RTX5090上的计算速度约为每秒10^12次哈希运算,而bcrypt这类慢哈希算法仅为每秒10^6次左右,两者差距达六个数量级,这意味着慢哈希算法能有效抵御GPU加速的暴力破解。
针对这一安全风险,卡巴斯基给出三点建议:首先是改用bcrypt或Argon2这类慢哈希算法,其中Argon2作为2015年密码哈希竞赛的胜出算法,能有效抵御GPU和ASIC破解;其次是开启多因素认证(MFA),就算密码被破解,攻击者还需通过额外验证步骤;最后是采用Passkey无密码认证方案,该方案基于公钥加密技术,无需存储密码哈希,从根源上消除密码泄露风险。
行业近期动态显示,2024年第一季度全球Passkey用户数同比增长115%,谷歌、微软等科技巨头都在积极推广这项技术:微软Windows11系统已默认开启Passkey支持,谷歌Chrome浏览器也允许用户将Passkey同步至云端。而竞争对手诺顿在5月6日发布的安全报告里,同样强调了弱哈希算法的风险,还推出密码管理器升级版本,能自动检测并将使用MD5存储的密码转换为Argon2算法。
快报