Twoje hasło może nie przetrwać nawet kwadransa. RTX 5090 łamie hasła dwa razy szybciej niż 4090

Najnowszy raport firmy Hive Systems, specjalizującej się w cyberbezpieczeństwie, nie pozostawia złudzeń: krótkie i proste hasła to dziś praktycznie żadna ochrona. A wszystko przez gigantyczny postęp w mocy obliczeniowej nowoczesnych procesorów graficznych.

Opublikowana właśnie aktualizacja tabeli łamania haseł na rok 2025 pokazuje, jak dramatycznie skrócił się czas potrzebny do złamania nawet dość skomplikowanych poświadczeń. Firma wykorzystała dwanaście najnowszych kart graficznych GeForce RTX 5090, które okazały się jeszcze potężniejsze od swojego poprzednika – RTX 4090 – używanego w ubiegłorocznych testach.

Hasło złamane w 15 minut. Co dalej?

Według Hive Systems, złamanie ośmiocyfrowego hasła składającego się wyłącznie z cyfr zajmuje obecnie zaledwie 15 minut, gdy użyje się zestawu dwunastu RTX 5090. Wydłużenie hasła lub dodanie małych liter zwiększa ten czas do kilku tygodni. Natomiast hasło składające się z cyfr, wielkich i małych liter oraz symboli może opierać się atakom nawet przez ponad 1000 lat — oczywiście w warunkach laboratoryjnych.

To nie czysta fantazja. Tak wygląda brutalna matematyka dzisiejszego łamania haseł: każde dodatkowe znaki i typy znaków podnoszą próg trudności wykładniczo. Ale i możliwości atakujących rosną z roku na rok. Nowa karta RTX 5090 oferuje o 33% większą wydajność niż poprzednik, a w przypadku złożonych haseł — nawet dwukrotnie szybsze tempo łamania.

Jak działają te ataki?

Większość nowoczesnych systemów nie przechowuje haseł jako zwykłego tekstu. Zamiast tego stosuje tzw. funkcje haszujące — algorytmy, które zamieniają dowolny ciąg znaków w nieczytelną wartość o stałej długości. Teoretycznie nie da się ich "odwrócić", czyli poznać oryginalnego hasła. Jednak atakujący mogą wykorzystać tzw. ataki słownikowe lub brute force: generują miliony kombinacji haseł i sprawdzają, czy któryś z wygenerowanych haszy pasuje do danych wykradzionych z bazy.

Hive Systems od lat symuluje tego typu ataki w warunkach testowych, by uzmysłowić, jak kruche mogą być pozornie bezpieczne zabezpieczenia. W tegorocznym raporcie wykorzystano bcrypt, jedną z popularniejszych funkcji haszujących, by sprawdzić, jak długo mogą oprzeć się jej różne kombinacje haseł.

Nie panikuj. Działaj

Chociaż dane prezentowane przez Hive brzmią alarmująco, eksperci podkreślają, że nie należy popadać w panikę — lecz w działanie. Przede wszystkim: atakujący muszą najpierw uzyskać dostęp do bazy danych haseł, by w ogóle rozpocząć ich łamanie. Drugą linią obrony jest złożoność i długość hasła, która wciąż pozostaje najskuteczniejszą tarczą.

— To nie znaczy, że trzeba pamiętać 24-znakowe hasła do każdego serwisu, mówi rzecznik Hive Systems. — Ale warto korzystać z menedżerów haseł, stosować uwierzytelnianie dwuskładnikowe i unikać typowych kombinacji typu „qwerty123” czy „password2024”.