A capacidade de computação está crescendo em um ritmo extraordinário. O surto de IA impulsionou investimentos massivos em GPUs e 'aceleradores' especializados, com fornecedores construindo hardware cada vez mais poderoso para treinar grandes modelos de linguagem. Para profissionais de cibersegurança, isso levanta uma questão interessante. Se a bolha da IA esfriar e esse hardware acabar ocioso, ele poderia ser reaproveitado para quebra de senhas? E se sim, isso significa que as senhas estão prestes a se tornar obsoletas? Para explorar esse cenário, comparamos dois aceleradores de IA de ponta, a **Nvidia H200** e a **AMD MI300X**, com a principal GPU de consumidor da **Nvidia**, a **RTX 5090**. O objetivo era simples: ver se uma GPU de IA de US$ 30.000 realmente tem uma vantagem na quebra de senhas. ## Configurando o teste A equipe de pesquisa da **Specops** publicou anteriormente trabalhos examinando quanto tempo leva para os atacantes fazerem brute-force em senhas hasheadas. Em testes separados de MD5, bcrypt e SHA-256, medimos a rapidez com que cada algoritmo poderia ser quebrado usando o mesmo hardware. Para ver como as GPUs impactam esse processo, recorremos ao **Hashcat**, uma das ferramentas de recuperação de senhas mais utilizadas. O **Hashcat** inclui recursos de benchmark que mostram a rapidez com que diferentes hardwares podem computar hashes de senha. Isso é importante porque a quebra de senhas é, em última análise, um jogo de números. Quanto mais rápido um sistema pode gerar hashes, mais rápido ele pode testar suposições de senha até encontrar a correta. Para esta comparação, analisamos os resultados de benchmark do **Hashcat** para cinco algoritmos de hashing comumente encontrados: * MD5 * NTLM * bcrypt * SHA-256 * SHA-512 Estes cobrem os algoritmos comuns encontrados no **Active Directory** de uma organização, desde hashes mais antigos e rápidos que são relativamente fáceis de fazer brute-force, até algoritmos modernos com criptografia muito mais forte. Isso fornece uma base realista para nossas três GPUs de ponta. Esses produtos ocupam amplamente um patamar de desempenho semelhante em seus respectivos mercados, tornando-os pontos de referência úteis para comparar hardware de IA empresarial com GPUs de consumidor. ## Os resultados da quebra de senhas por GPU | Algoritmo | Taxa de Hash H200 | Taxa de Hash MI300X | Taxa de Hash RTX 5090 | | --------- | --------------- | ----------------- | ------------------- | | MD5 | 124.4 GH/s | 164.1 GH/s | 219.5 GH/s | | NTLM | 218.2 GH/s | 268.5 GH/s | 340.1 GH/s | | bcrypt | 375.3 kH/s | 142.3 kH/s | 304.8 kH/s | | SHA-256 | 15092.3 MH/s | 24673.6 MH/s | 27681.6 MH/s | | SHA-512 | 5173.6 MH/s | 8771.4 MH/s | 10014.2 MH/s | O que fica imediatamente claro é que, em todos os algoritmos testados, a **RTX 5090** supera ambos os aceleradores de IA em velocidade bruta de geração de hash. Em múltiplas funções, a **RTX 5090** hasheia senhas quase duas vezes mais rápido que a **H200**. A comparação de preço por desempenho é impressionante. Uma única **H200** custa pelo menos dez vezes mais que uma **RTX 5090**, então seria razoável esperar um desempenho muito maior do acelerador de IA em uma comparação um a um. Simplesmente não é o caso. Além disso, em 2017, a **IBM** construiu um rig de quebra de senhas usando oito **Nvidia GTX 1080s**, a GPU de consumidor de ponta da época. Esse sistema atingiu uma taxa de quebra de hash NTLM de 334 GH/s. Em outras palavras, um rig de GPU de consumidor de nove anos oferece desempenho semelhante ou melhor na quebra de senhas do que os aceleradores de IA de ponta atuais. Portanto, ao responder à pergunta: 'uma GPU de US$ 30.000 é boa em quebra de senhas?', a resposta é clara: não. ## O risco real para as organizações A quebra de senhas não requer hardware exótico ou especializado. Quebradores profissionais e atacantes já têm acesso a todo o poder computacional de que precisam para fazer brute-force em senhas fracas. Em nossos testes SHA-256, uma senha usando números, letras maiúsculas e minúsculas e símbolos poderia ser quebrada em apenas 21 horas. É por isso que impor senhas mais fortes é essencial, e a defesa mais eficaz é o comprimento. Uma senha de 15 caracteres usando a mesma mistura de tipos de caracteres, hasheada com SHA-256, levaria cerca de 167 bilhões de anos para ser quebrada, mesmo com hardware de GPU poderoso. Nesse ponto, o brute-force simplesmente não é um ataque realista. O maior risco são senhas que já foram expostas em violações de dados. Isso geralmente acontece através da reutilização de senhas. Você pode exigir que os funcionários criem senhas longas e complexas do **Active Directory** e as armazenem com segurança. Mas essa proteção desaparece se a mesma senha for reutilizada em dispositivos pessoais, sites ou aplicativos com controles de segurança mais fracos. Se os atacantes puderem vincular credenciais expostas a um indivíduo específico, muitas vezes é simples identificar onde eles trabalham e tentar a mesma senha contra contas corporativas. Existe todo um mercado underground de 'initial access brokers' que se especializam exatamente nesse tipo de intrusão. Isso destaca a importância de ter ferramentas que possam detectar senhas comprometidas em sua organização. Identificar credenciais expostas precocemente permite que as equipes de segurança redefinam contas e bloqueiem atacantes antes que essas senhas sejam usadas para obter acesso. ### Como a Specops ajuda Ferramentas como o **Specops Password Policy** ajudam aqui de duas maneiras cruciais: * **Gerenciamento granular de políticas de senha:** Nossa solução permite que as equipes de segurança implementem políticas de senha detalhadas, muito além das incluídas no **Active Directory**. Isso inclui suporte para 'passphrases' (frases-senha), bem como modelos de conformidade prontos para garantir que sua organização atenda aos padrões necessários. O feedback dinâmico orienta os usuários a criar senhas fortes que eles se lembram, mas que são difíceis de quebrar. * **Verificação contínua de senhas violadas:** O recurso Breached Password Protection verifica continuamente seu **Active Directory** contra um banco de dados de mais de 5 bilhões de senhas comprometidas exclusivas. Mensagens personalizáveis alertam os usuários se suas senhas forem comprometidas.  Em última análise, as organizações não devem depender apenas de senhas como única linha de defesa. A autenticação multifator (MFA) fornece uma barreira adicional que protege as contas, mesmo que uma senha seja eventualmente recuperada. O **Specops Secure Access** oferece essa camada adicional de segurança para conexões de Logon do Windows, RDP e VPN.  Se você estiver em