Divulgada recentemente, a Hive Systems Password Table 2025 traz a versão atualizada do estudo feito pela empresa de soluções em segurança cibernética que avalia, desde 2020, o tempo gasto para que um ataque de força bruta seja bem sucedido em quebrar uma senha, de acordo com o seu tamanho e complexidade. Mas será que você entende mesmo o que essa tabela quer dizer? Mais que isso, será que sua senha está tão forte quanto essa tabela dá a entender? Neste artigo, vamos tentar explicar, abordando os pontos principais, o estudo completo da Hive Systems que você pode ler (em inglês) acessando esse link [1].
Figura 1: Tempo necessário para um ataque de força bruta quebrar sua senha em 2025.
Pra início de conversa, o estudo não usa o termo "hacking", ao invés disso, usa "cracking", que aqui traduzimos como "quebrar" ou "crackear". Por "quebrar" entenda o tempo de pior caso para que um atacante consiga gerar um hash que coincida com o hash de sua senha armazenada em um servidor. Explicando rapidamente pra quem não é da área, por questões de segurança, sua senha não fica armazenada em claro nos bancos de dados dos servidores (pelo menos, espera-se que não), pois em caso de vazamento, sua senha estaria exposta. Para evitar esse problema, as senhas são armazenadas em formato de um código chamado hash. O hash é uma função de resumo criptográfico que gera um código de tamanho fixo a partir de uma entrada. É importante frisar que o hash é uma função só de ida, ou seja, não deve ser possível descobrir o conteúdo original a partir do hash deste conteúdo. Portanto, se o banco de dados de um servidor vazar, o atacante não saberá qual é a sua senha, mas apenas o hash dela e com isso não conseguiria fazer login no serviço se passando por você.
Voltando para o estudo da Hive Systems, ele foi realizado estimando o tempo gasto por um determinado hardware para gerar os hashes de todas as combinações possíveis de senhas utilizando: a) apenas números; b) apenas letras minúsculas; c) letras maiúsculas e minúsculas; d) números e letras maiúsculas e minúsculas; e e) números, letras maiúsculas e minúsculas e caracteres especiais. Para simplificar, esta última opção chamaremos de "senha complexa". Agora, imagine que o atacante tenha uma tabela de hashes de senhas vazadas, ele precisaria executar a função de hash em diversas combinações de senhas até encontrar um hash que coincida com algum dos hashes presentes na tabela, descobrindo, assim, qual senha teria gerado aquele hash. Dessa forma, quanto maior e mais complexa for sua senha, maior será a quantidade de combinações possíveis de caracteres e, com isso, mais tempo levaria para um atacante acertar qual delas você utilizou como sua senha. Nesse sentido, o estudo é muito mais voltado para a capacidade que cada hardware tem de gerar hashes de todas as combinações possíveis de caracteres, de acordo com o seu tamanho e complexidade.
A tabela já deixa bem claro que senhas curtas ou muito simples (apenas números ou apenas letras) são quebradas instantaneamente ou em questão de poucos minutos ou horas. Isso porque as combinações possíveis nestes formatos são muito limitadas. Além disso, o estudo comenta, fora da tabela, que senhas que têm algum significado, como datas, palavras comuns no vocabulário, ou ainda, senhas que já tenham sido vazadas, por maiores ou mais complexas que sejam, são quebradas instantaneamente. Isso porque o atacante muito provavelmente já tem um banco de hashes gerados desse tipo de senha e, por isso, ao invés de gastar processamento gerando hashes, fará apenas uma consulta, o que é muito mais rápido, o que é conhecido como ataque de dicionário.
Agora, vamos supor que você tenha seguido as orientações de segurança e criou sua senha complexa com 8 caracteres. Neste caso, a tabela da Figura 1 mostra que o ataque demoraria 164 anos para quebrar sua senha, então está tudo bem, certo? Errado! Para entender o porquê, precisamos mergulhar em alguns detalhes mais técnicos e históricos desse projeto.
Lembra que falamos mais cedo sobre o tempo estimado que um determinado hardware levaria pra fazer uma operação? Então, o estudo leva em consideração que qualquer computador pode executar essas funções, entretanto, é muito mais rápido quando se utilizam placas gráficas (GPU). Isso porque pra entregar um desempenho melhor de vídeo, as GPUs são feitas de modo a conseguirem fazer uma quantidade enorme de cálculos muito complexos por segundo, chamados FLOPS (floating points operations per seconds), o que faz com que elas sejam muito boas para executar qualquer outra função que dependa de cálculos matemáticos em geral, como é o caso dos algoritmos criptográficos. O estudo, portanto, calcula o tempo gasto baseado na quantidade de operações que cada hardware é capaz de fazer por segundo. Com isso, é possível estimar que um tipo de senha levaria bilhões de anos para ser quebrada, mesmo sem executar essa operação.
Ao longo do tempo, o estudo vem considerando a evolução tanto das placas gráficas quanto das funções de hash utilizadas pelas aplicações em geral. Em 2020 [2] começaram utilizando apenas 1 GPU NVIDIA RTX 2080 gerando hashes utilizando a função MD5. A referida GPU era o que se podia considerar como "top" dentre as placas acessíveis a consumidores comuns. Digamos que é a placa que estaria em um computador gamer de ponta. Pulando pra 2022 [3], o estudo, realizado também com função de hash MD5, além de utilizar a nova placa RTX 3090, começou a considerar também o uso de computação em nuvem. No caso, considerou o uso de 8 GPUs A100 disponibilizadas pela Amazon AWS, custando, à época, exatos US$32,77. Esses custos mostram que este tipo de ataque é barato e acessível a pessoas comuns, o que serve de alerta, pois não seriam um privilégio de grandes companhias ou governos.
Em 2023 [4] veio o estudo, ao meu ver, mais interessante, pois com o lançamento da nova placa RTX 4090 foi possível traçar um comparativo dos três modelos contra a mesma função de hash MD5. Isso nos mostra que é ilusão você achar que está seguro se a tabela diz que sua senha tomaria uma centena de anos para ser quebrada, pois com a evolução de hardware, o que eram anos, rapidamente se tornam dias ou horas (Figura 2).
Figura 2: Tempo necessário para um ataque de força bruta quebrar sua senha em 2023.
Voltemos para o exemplo da nossa senha complexa, porém com 11 caracteres. Em 2020 (RTX 2080 vs MD5) a tabela mostrava que uma senha como essa levaria cerca de 400 anos para ser quebrada. Em 2022 (RTX 3090 vs MD5), cai para 300 anos e em 2023 (RTX 4090 vs MD5) apenas 38 anos. E não para por aí. Quando consideramos as 8 GPU A100 da Amazon AWS, o tempo é de apenas 12 anos. Continuando em 2023, o estudo mostra que utilizando 12 RTX 4090 o atacante conseguiria sucesso em apenas 3 anos (Figura 3).
Até o momento, foram apresentadas apenas configurações de hardware disponíveis para usuários comuns, com alguma disponibilidade financeira. Agora, pensando em uma grande empresa ou em um governo, que teria à sua disposição um poder computacional muito maior, o estudo mostra que 10.000 GPUs AWS A100, hardware utilizado para treinar o ChatGPT 3, levariam apenas 4 dias para quebrar essa mesma categoria de senhas. Reparem que com o passar de apenas 3 anos, o avanço tecnológico fez com que o tempo estimado caísse de 400 anos para 4 dias. No mesmo período, uma senha complexa de 8 dígitos, mínimo sugerido nas boas práticas de segurança da informação, foi de 8 horas para 5 minutos, considerando hardware acessível, ou apenas 1s para grande poder computacional.
 |
| Figura 3: Evolução do tempo necessário para um ataque de força bruta quebrar sua senha, de 2020 a 2023. |
Os leitores mais atentos perceberam que a tabela de 2025 traz a informação de 164 anos para as senhas complexas de 8 dígitos, enquanto no parágrafo anterior falamos de apenas 8h já em 2020. Qual o sentido disso? Acontece que em 2022 foi introduzido no estudo o uso de outro algoritmo de hash, chamado bcrypt, que é mais complexo e mais custoso para ser executado. Isso porque o algoritmo MD5 não é mais considerado seguro, primeiro pelo baixo custo computacional para seu cálculo e segundo por já ter sido provado que é possível gerar duas entradas que produzem o mesmo hash MD5. Apesar disso, o algoritmo MD5 ainda é largamente utilizado para o armazenamento de senhas, o que mantém o estudo com esse algoritmo bastante relevante.
Para se ter uma ideia, as senhas complexas de 8 dígitos tomariam, em 2022, 400 anos de processamento para serem quebradas ao se confrontar placas RTX 3090 com o algoritmo bcrypt. No mesmo ano, utilizando 8 GPU A100 da Amazon AWS, o tempo cairia para 36 anos. Em 2023, considerando apenas ^*%$!&@# como os caracteres especiais mais comumente aceitos pelos servidores, o estudo mostrou que a placa RTX 3090 levaria apenas 99 anos (não mais 400) para quebrar esse tipo de senha, enquanto 8 GPU A100 da Amazon AWS levariam 17 anos.
Considerando os algoritmos de hash utilizados nas bases vazadas nos últimos anos, a partir de 2024 [5] o estudo passou a focar no uso do bcrypt, não mais em MD5. Aqui temos um ponto que merece atenção: o estudo passa a considerar que os servidores estão adotando, em sua maioria, um algoritmo mais seguro para proteger as senhas dos seus clientes, entretanto ainda é grande o número de servidores que usam algoritmos fracos, como MD5, o que pode ser comprovado pelo elevado número de bases vazadas (Figura 4) que ainda utilizam esse algoritmo.
Figura 4: Quantidade de bases de dados de senhas vazadas, coloridas por tipo de hash.
Por fim, em 2025 [1], o estudo passa a considerar a versão mais recente da placa gráfica da NVIDIA, RTX 5090, juntamente com a versão mais comumente usada o algoritmo bcrypt, com 10 iterações. O estudo mostra que uma senha complexa de 8 dígitos tomaria 164 anos de processamento para ser quebrada por 12 placas RTX 5090. Entretanto, quando se trata de grande poder computacional, a mesma categoria de senha resistiria apenas 5 meses contra o hardware utilizado para treinar o ChatGPT-3 (10.000 x A100), 3 meses contra o hardware de treinamento do ChatGPT-4 (20.000 x A100), ou ainda, 2 meses contra uma fração do hardware utilizado para rodar atualmente o ChatGPT (12 x H200). O que mostra que esse tipo de senha pode até sobreviver, hoje em dia, a um ataque proveniente de um hardware acessível, mesmo que com custo elevado, mas não tem nenhuma chance contra o poder computacional utilizado para Inteligência Artificial.
Portanto, não adianta olhar para a tabela 2025 e ter uma senha que dure milhares de anos (Ex.: complexa com 9 caracteres, 11 mil anos), pois em um cenário totalmente plausível de um atacante forte, mesmo que limitado ao hardware acessível, e um servidor que utilize algoritmo MD5, estes 11 mil anos se tornam apenas 6 horas. É bem difícil que sua senha esteja na região verde da tabela 2025, mas o ideal é que esteja pelo menos na região amarela. Para facilitar, recomenda-se o uso de softwares gerenciadores de senhas, capazes de gerar senhas com um bom nível de complexidade, mantendo-as protegidas por um outro fator de autenticação, como a biometria. Não esqueça de alterar suas senhas com alguma frequência, garantindo que mesmo com a evolução tecnológica e na possibilidade de vazamento de bancos de dados, os seus dados e acessos continuem protegidos.
Referências:
0 Comentários