コンピューティングパワーは驚異的なペースで増大しています。AIの急増は、GPUおよび専用の「アクセラレーター」への大規模な投資を牽引し、ベンダーは大規模言語モデルのトレーニングのためにますます強力なハードウェアを構築しています。 サイバーセキュリティの専門家にとって、これは興味深い疑問を投げかけます。AIバブルが冷え込み、このハードウェアが遊休状態になった場合、パスワードクラッキングに再利用できるのでしょうか？もしそうなら、パスワードは間もなく時代遅れになるということでしょうか？ このシナリオを探るため、私たちは2つのフラッグシップAIアクセラレーター、**Nvidia H200**と**AMD MI300X**を、**Nvidia**のトップコンシューマーGPUである**RTX 5090**と比較しました。目標は単純でした。3万ドルのAI GPUがパスワードクラッキングにおいて実際に優位性を持つかどうかを確認することです。 ## テストの設定 **Specops**の研究チームは、攻撃者がハッシュ化されたパスワードをブルートフォースするのにかかる時間を調査した過去の研究を発表しています。MD5、bcrypt、SHA-256の個別のテストで、同じハードウェアを使用して各アルゴリズムがどれだけ速くクラックできるかを測定しました。 GPUがこのプロセスにどのように影響するかを確認するために、最も広く使用されているパスワードリカバリツールの1つである**Hashcat**を使用しました。**Hashcat**には、さまざまなハードウェアがパスワードハッシュをどれだけ速く計算できるかを示すベンチマーク機能が含まれています。 これは重要です。なぜなら、パスワードクラッキングは最終的に数のゲームだからです。システムがハッシュを生成する速度が速ければ速いほど、正しいものを見つけるまでパスワード推測をテストする速度も速くなります。 この比較のために、私たちは一般的に遭遇する5つのハッシュアルゴリズムの**Hashcat**ベンチマーク結果を確認しました。 * MD5 * NTLM * bcrypt * SHA-256 * SHA-512 これらは、組織の**Active Directory**で見られる一般的なアルゴリズムをカバーしており、比較的ブルートフォースしやすい古い高速ハッシュから、はるかに強力な暗号化を備えた最新のアルゴリズムまで含まれます。 これにより、3つのハイエンドGPUが対峙するための現実的な基盤が提供されます。これらの製品は、それぞれの市場で同様のパフォーマンスティアを広く占めており、エンタープライズAIハードウェアとコンシューマーGPUを比較するための有用な参照点となっています。 ## GPUパスワードクラッキングの結果 | アルゴリズム | H200 ハッシュレート | MI300X ハッシュレート | RTX 5090 ハッシュレート | | ------------- | ------------- | --------------- | --------------- | | MD5 | 124.4 GH/s | 164.1 GH/s | 219.5 GH/s | | NTLM | 218.2 GH/s | 268.5 GH/s | 340.1 GH/s | | bcrypt | 375.3 kH/s | 142.3 kH/s | 304.8 kH/s | | SHA-256 | 15092.3 MH/s | 24673.6 MH/s | 27681.6 MH/s | | SHA-512 | 5173.6 MH/s | 8771.4 MH/s | 10014.2 MH/s | すぐに明らかになるのは、テストされたすべてのアルゴリズムにおいて、**RTX 5090**が生のハッシュ生成速度で両方のAIアクセラレーターを上回っていることです。複数の機能にわたって、**RTX 5090**は**H200**のほぼ2倍の速度でパスワードをハッシュ化します。 価格対パフォーマンスの比較は印象的です。単一の**H200**は**RTX 5090**の10倍以上の価格ですが、1対1の比較ではAIアクセラレーターからさらに優れたパフォーマンスを期待するのは当然かもしれません。しかし、現実はそうではありません。 さらに、2017年には**IBM**が当時のフラッグシップコンシューマーGPUである8基の**Nvidia GTX 1080s**を使用したパスワードクラッキングリグを構築しました。 そのシステムは、NTLMハッシュクラッキングレート334 GH/sを達成しました。つまり、9年前のコンシューマーGPUリグが、今日のフラッグシップAIアクセラレーターと同等、あるいはそれ以上のパスワードクラッキングパフォーマンスを提供しているのです。 したがって、「3万ドルのGPUはパスワードクラッキングに優れているか？」という質問に対する答えは明確です。いいえ。 ## 組織にとっての本当のリスク パスワードクラッキングには、エキゾチックまたは特殊なハードウェアは必要ありません。プロのクラッカーや攻撃者はすでに、弱いパスワードをブルートフォースするために必要なすべてのコンピューティングパワーにアクセスしています。SHA-256テストでは、数字、大文字小文字、記号を使用したパスワードはわずか21時間でクラックできました。 だからこそ、より強力なパスワードの強制が不可欠であり、最も効果的な防御は長さです。同じ文字タイプの組み合わせを使用した15文字のパスワードをSHA-256でハッシュ化しても、強力なGPUハードウェアを使用しても、クラックするには約1670億年かかります。その時点で、ブルートフォースは現実的な攻撃ではありません。 より大きなリスクは、すでにデータ侵害で漏洩したパスワードです。これは、パスワードの使い回しによってよく発生します。従業員に長い複雑な**Active Directory**パスワードを作成させ、安全に保存するように要求するかもしれません。 しかし、同じパスワードが個人のデバイス、ウェブサイト、またはセキュリティ管理が弱いアプリケーションで再利用されると、その保護は失われます。 攻撃者が漏洩した認証情報と特定の個人を結びつけることができれば、どこで働いているかを特定し、企業アカウントに対して同じパスワードを試みることは、しばしば簡単です。まさにこの種の侵入を専門とする初期アクセスブローカーの地下市場全体が存在します。 これは、組織内の侵害されたパスワードを検出できるツールの重要性を浮き彫りにしています。漏洩した認証情報を早期に特定することで、セキュリティチームはパスワードがアクセス権の取得に使用される前にアカウントをリセットし、攻撃者をブロックできます。 ### Specopsがどのように役立つか **Specops Password Policy**のようなツールは、次の2つの重要な方法で役立ちます。 * **きめ細かなパスワードポリシー管理:** 当社のソリューションにより、セキュリティチームは**Active Directory**に含まれるものよりもはるかに高度な、きめ細かなパスワードポリシーを実装できます。これには、パスフレーズのサポートや、組織が必要な基準を満たしていることを確認するための既製のコンプライアンステンプレートが含まれます。動的なフィードバックは、ユーザーが記憶できるがクラックが困難な強力なパスワードを作成するように導きます。 * **侵害されたパスワードの継続的なスキャン:** Breached Password Protection機能は、50億を超える一意の侵害されたパスワードのデータベースに対して**Active Directory**を継続的にスキャンします。カスタマイズ可能なメッセージは、パスワードが侵害された場合にユーザーに警告します。  最終的に、組織はパスワードを唯一の防御線として依存すべきではありません。多要素認証（MFA）は、パスワードが最終的に回復された場合でもアカウントを保護する追加の障壁を提供します。 **Specops Secure Access**は、Windows Logon、RDP、VPN接続にその追加のセキュリティレイヤーを提供します。  あなたが