Dette er i beste fall upresist, og grenser mot helt feil. Artikler som dette er med på å skape forvirring for folk flest, og blir forsterket av filmer/serier hvor noen "hacker" seg inn på sekunder.
Det er ingen som bruker GPU for å bryte seg inn i en konto ved direkte forsøk. Man bruker GPU for å brute force en kjent hash av et passord. En angriper har ikke en HASH av passordet ditt, men mindre du har gjenbrukt passordet flere steder, og ett av de stedene har fått brukerdatabasen sin kopiert ut. De aller fleste siter låser kontoen for en tid om man forsøker flere ganger med feil passord, så med mindre man bruker et kjent passord (sjekk f.eks. rockyou listen) så er det sjelden et problem. Dette gjelder kontoer som Facebook, Gmail, etc. For enterprise systemer er det en helt annen hverdag, men det dropper jeg å skrive mer om i denne posten.
Hovedpoenget når det gjelder passord er som følger:
Det er viktigere å ikke gjenbruke passord flere steder, enn det er å ha et langt og komplekst passord.
Brute force metoden som nevnes i artikkelen avhenger av at noen allerede har brutt seg inn, eller på annen måte fått tak i brukernavn og passord dump fra en site. Målet men en slik dump er å lage lister med brukernavn (ofte epost) og tilhørende passord, som man kan forsøke å bruke mot andre siter. Basert på hvordan passordene er lagret på siten som har blitt hacket, og derav i dumpen, kan hovedsakelig 3 forskjellige ting skje:
Om passord lagres i klartekst er jobben gjort. Angriperene sitter nå med ditt brukernavn og tilhørende passord. Om du har gjenbrukt passordet på andre steder er dette dårlig nytt, uansett hvor langt og komplekst passordet er.
Om passord lagres hashet, men uten salt, vil angriperen benytte rainbow-tables. Dette er store tabeller med ferdig hashet passord, som gjør det trivielt og enkelt å finne passordet. Alt man trenger er tabellene, eller i enkleste form et søk på google.
Om passordet er riktig lagret, hashet flere ganger og med bruk av salt, så må man altså ty til brute force for å finne passordene. Da benyttes ofte GPU for å gjøre dette raskere. Har man her et lengre passord kan man muligens unngå at angripere med lite resurser kan reversere passordet ut fra hash, men over tid vil man stort sett alltid ende opp med å få reversert passordet (noen unntak selvfølgelig).
Og før noen skriver sinte svar: Jeg mener absolutt ikke at man skal ha et enkelt passord!
Personlig mener jeg at man bør ha et langt passord, men ikke nødvendigvis komplekst. Hjernen vår husker komplekse passord dårlig, så bruk heller en blanding av norske og engelske ord samt et tall eller to. Da får man fort et langt passord som er lettere å huske.
Personlig benytter jeg en password manager for å ha unike lange passord på alle sites uten at jeg trenger å huske noe som helst. Viktige passord, som nettbank og epost har jeg ikke lagret i password manager. De klarer jeg å huske.
Anbefaler alle å ta seg en tur innom https://haveibeenpwned.com
Skriv inn eposten din, så får du vite om den er med i noen av de kjente dumpene. Siden drives av Troy Hunt.