2024年RTX 5090密码破解实测：60%密码1小时内告破，你的密码安全吗？

在世界密码日（每年五月的第一个星期四）前后，安全行业总会聚焦于最新的威胁态势。今年，卡巴斯基发布的一项基准测试，为所有仍在使用弱密码或依赖过时保护机制的用户提供了明确的警示。

测试数据揭示了严峻的现实：研究团队以暗网泄露的2.31亿条独立密码作为样本池，使用MD5算法生成其哈希值，并仅用一张英伟达GeForce RTX 5090显卡进行离线破解。结果显示，超过60%的密码在60分钟内即告失守。

这一比例意味着什么？相较于两年前同类测试中59%的破解率，1%的增幅看似微小。但在2.31亿的庞大基数下，这微小的百分点意味着数百万个原本可能具备一定抵抗力的密码，在新一代硬件算力面前，其防御能力已降至临界点，进入了极易被攻破的范畴。

这里需要明确一个核心概念：MD5是一种曾广泛应用的哈希函数，它能将任意长度的输入数据映射为固定长度的“数字指纹”。其设计初衷是追求极致的计算速度，因此过去常被用于文件完整性验证或数据去重等场景。

然而，密码存储的安全需求与文件校验截然相反。密码哈希不需要“快”，而恰恰需要“慢”。一旦存储密码哈希的数据库发生泄露，攻击者便能利用GPU等硬件并行计算能力，高速枚举海量候选密码，计算其哈希并与泄露的哈希值进行碰撞比对。许多人误将MD5视为一种“加密”，实则它是一种单向哈希，其过程理论上不可逆。但“不可逆”绝不等于“安全”。如果算法本身计算成本过低，且存在已知的碰撞漏洞（即不同输入产生相同输出），它便完全不适合用于密码保护。

从安全模型上看，即使哈希数据库泄露，攻击者仍需通过猜测或穷举来还原明文密码。但MD5极低的计算开销，使得攻击者能够以每秒数十亿次的速度进行尝试，从而使暴力破解在时间上变得可行。

卡巴斯基的报告进一步强调，密码长度固然是强度的基础，但许多用户在创建密码时，仍普遍依赖“123456”这类高度可预测的弱模式，这极大地削弱了长度带来的优势。

那么，当前更优的密码存储方案是什么？答案是采用bcrypt、Scrypt或Argon2这类专为密码设计的现代密钥派生函数。其核心安全设计在于“故意变慢”和“资源消耗”——通过内置的工作因子或内存成本，显著增加每次哈希计算所需的时间和硬件资源。这迫使攻击者所需的破解时间呈指数级增长，硬件投入成本也急剧攀升，从而构建起有效的防御壁垒。

基于测试结论，卡巴斯基给出了直接的安全建议：行业应加速淘汰MD5这类过时的哈希算法，全面转向bcrypt、Argon2等更健壮的方案。同时，必须为核心账户启用多因素认证（MFA），并在服务支持的情况下，优先采用更安全、更便捷的Passkey（通行密钥）进行身份验证。