כרטיס המסך המתקדם ביותר של NVIDIA, ה-RTX 5090, זוכה לשבחים ככרטיס עילית עבור גיימינג ובינה מלאכותית — אך כעת מתברר כי הוא מהווה גם איום ממשי על אבטחת הסייבר. חברת Hive Systems, שמתמחה בבדיקות עומק של זמן פיצוח סיסמאות באמצעות חומרת עיבוד גרפי, פרסמה את תוצאות המבחן האחרון שלה בו השתמשה ב-12 כרטיסי RTX 5090. המסקנה: סיסמאות פשוטות המורכבות משמונה תווים בלבד - מספרים בלבד - נפרצות תוך פחות מ-15 דקות.
Hive Systems עוסקת כבר חמש שנים במדידת זמני פיצוח סיסמאות תוך שימוש ב-GPU. עדכון קודם של הטבלה פורסם בשנת 2024 והתבסס על ה-RTX 4090. אך הפעם, עם קפיצת המדרגה בביצועים שהביא עימו הדגם החדש, נערכה בחינה חוזרת של זמני הפיצוח — והיא מדאיגה במיוחד.
כך נפרצת סיסמה: תיאוריה ופרקטיקה
כדי להבין את משמעות הנתונים, חשוב להבין שהמבחן לא כלל פריצה ישירה לסיסמאות, אלא ניסיון לפצח hashes — גרסאות מוצפנות של הסיסמאות האמיתיות, שהן אלו הנשמרות בשרתים. פריצה כזו נעשית על ידי ניסוי אינספור קומבינציות של תווים — והשוואת הפלט שלהן ל-hashים גנובים ממסדי נתונים.
כרטיסי מסך, כמו ה-RTX 5090, מותאמים במיוחד למשימות מקבילות שכאלה, בזכות יכולת חישוב מקבילית אדירה. התוצאה: 12 כרטיסים כאלה מסוגלים לפצח hash של סיסמה בת 8 ספרות תוך רבע שעה בלבד.
הפער בין סיסמאות פשוטות למורכבות מדגים היטב את החשיבות שבהוספת מורכבות בסיסמה. לדוגמה, אותה מערכת של 12 כרטיסים תדרוש שלושה שבועות לפצח סיסמה בת 8 אותיות קטנות בלבד. אם נוסיף גם אותיות גדולות ומספרים — זמן הפיצוח יטפס ל-62 שנים. הוספת סמלים מיוחדים? 164 שנים לפיצוח.
שיפור משמעותי מהדור הקודם
בהשוואה בין דורית, כרטיס RTX 5090 בודד יכול לפצח hash של סיסמה בת 8 ספרות תוך שלוש שעות בלבד, לעומת ארבע שעות ב-RTX 4090 — שיפור של 33%. ככל שהמורכבות עולה, הפער בביצועים בין הדורות מתרחב: סיסמה מורכבת במיוחד תדרוש אמנם מאות שנים לפיצוח, אך ה-5090 מבצע זאת פי שניים מהר מה-4090.
המסר המרכזי ממחקר זה של Hive Systems ברור: סיסמאות פשוטות אינן בטוחות — גם אם נראה שהן "מספיק טובות". שימוש באותיות גדולות, קטנות, מספרים וסמלים יוצר שדרוג עצום באבטחת המידע. ויש גם חדשות טובות — טכניקה זו דורשת גישה מראש למסד נתונים גנוב, כך שעדיין מדובר באיום אפשרי ולא מיידי. אך הסיכון קיים, והוא ממשי — במיוחד כשהעולם ממשיך להתקדם בכוח החישוב שברשותו.