La capacidad de la RTX 4090 para descifrar contraseñas quedó demostrada en los benchmarks que subió Sam Croley. El rendimiento de prácticamente todos los algoritmos mejoró con la próxima GPU insignia de Nvidia, que también batió los récords establecidos por la RTX 3090 en varios benchmarks. Las contraseñas descifradas utilizaban una combinación de caracteres, símbolos y números elegidos al azar.
Croley declaró en un tuit que la enorme GPU fue puesta a prueba contra el sistema de autenticación NTLM de Microsoft, así como la capacidad de Bcrypt para descifrar contraseñas. Todas las pruebas se realizaron con el modo de referencia Hashcat v6.2.6. Hashcat es una herramienta que se utiliza para adivinar las contraseñas de los usuarios y es utilizada por administradores de sistemas, especialistas en ciberseguridad y estafadores.
Según la prueba, una configuración de hashing de contraseñas formada por ocho GPUs RTX 4090 podía realizar 200.000 millones de iteraciones de una contraseña de ocho caracteres en cuarenta y ocho minutos. Es decir, 2,5 veces más rápido que el anterior récord, ostentado por la RTX 3090. Ambos conjuntos de pruebas utilizaron hardware y software de GPU disponibles en el mercado.
Hashcat ofrece una amplia variedad de métodos de ataque que pueden utilizarse para recuperar contraseñas o acceder a cuentas no autorizadas. Algunos ejemplos de este tipo de ataques son los de diccionario, combinador, máscara, basados en reglas y de fuerza bruta.
Hashcat y otras herramientas para descifrar contraseñas se aprovechan del comportamiento predecible de los humanos, lo que a su vez conduce a una seguridad insuficiente. Un ataque podría comenzar con palabras, palabras clave o patrones de uso frecuente con el fin de descifrar una contraseña más rápidamente. La ruptura de una contraseña utilizando estas listas y datos puede llevar tan sólo milisegundos en lugar de los 48 minutos estándar.
Los resultados del estudio pueden parecer alarmantes, pero el método puede tener muy pocos casos de uso en el mundo real. En una entrevista con ITPro.com, el director de operaciones de MIRACL, Grant Wyatt, declaró que las diversas estrategias, reglas y configuraciones para la seguridad en Internet limitan estos riesgos a los activos fuera de línea.