Тема всплыла в обсуждении на r/technology: пост о том, что 60 % хешей MD5 раскрываются за час, собрал несколько тысяч голосов, а комментарии превратились в мини‑лекцию о безопасности.

Как это измерили

Исследователи Kaspersky взяли более 231 млн уникальных паролей, найденных на тёмных форумах, и попытались расшифровать их, используя один современный графический процессор. Результат: 48 % паролей раскрыты за минуту, 60 % — за час, 68 % — за сутки.

Тот же набор данных уже использовался в 2024 году, тогда процент был 59 %. Рост небольшой, но тревожный: даже обычный настольный ПК с топ‑картой способен пробить десятки миллиардов хешей в секунду.

Что пишут в комментариях

«Not news. It was cracked in 2008 for goodness sake…» — Orangesteel
«MD5 being used for passwords in 2026 is less of a security vulnerability and more of a cry for help» — Ian-Cubeless
«One Nvidia card can go through 20+ billion hashes per second easily» — Modulius

Почему это важно сейчас

MD5 до сих пор встречается в старых системах, встраиваемых решениях и в некоторых корпоративных базах. Если злоумышленник получает дамп, он может за час собрать большую часть паролей и получить доступ к аккаунтам, банковским сервисам, корпоративным сетям.

Ситуация напоминает старый анекдот: «Если у вас пароль «123456», то вы уже в списке первых пяти тысяч».

Анализ рынка

В России

  • Касперский Антивирус — пакет защиты, включает модуль обнаружения взлома паролей, но не предоставляет пользователю инструменты проверки собственных хешей.
  • Hashcat‑GUI (русская локализация) — графический клиент к популярному «hashcat», упрощает настройку атак, однако требует установки и знаний командной строки.
  • Passware Kit Russian Edition — коммерческий набор для восстановления паролей, ориентирован на форензиков, цена выше 30 тыс. ₽, недоступен малому бизнесу.

За рубежом

  • Hashcat — открытый инструмент, считается эталоном скорости, поддерживает более 200 алгоритмов, используется в CTF и профессиональных аудитах.
  • John the Ripper — кроссплатформенный «джон», гибок в настройке правил, популярен среди исследователей.
  • CloudCrack (облачный сервис) — предлагает арендовать мощные GPU‑серверы для «один‑клик» взлома хешей, плата за час работы.

Незакрытая ниша: в России нет доступного облачного сервиса, где пользователь может загрузить собственный хеш и получить оценку стойкости за небольшую плату, без необходимости покупать дорогое оборудование.

💡 Идеи для предпринимательства

Сайты

  • Оценщик стойкости пароля онлайн — пользователь вводит хеш, сервис рассчитывает, сколько времени понадобится одной видеокарте для его расшифровки; монетизация через подписку на API.
  • База типовых атак MD5 — каталог правил, словарей и примеров атак, с возможностью скачивания; платный доступ к обновлениям раз в месяц.

Мобильные приложения

  • Пароль‑детектор — приложение сканирует сохранённые хеши в приложениях (например, в браузерах) и предупреждает, если они используют MD5; продажа через рекламные вставки.
  • Telegram‑бот «HashWatch» — пользователь отправляет хеш, бот отвечает примерным временем взлома и рекомендациями по смене пароля; подписка на ускоренный расчёт.

Бизнес‑идеи

  • Консультация по миграции от MD5 к Argon2id — небольшие компании часто забывают обновить алгоритм; пакет услуг включает аудит, скрипты миграции, обучение персонала.
  • Облачный сервис «FastCrack» для форензиков — аренда GPU‑инстансов с предустановленным hashcat, биллинг по минутам; целевая аудитория — частные детективы, ИТ‑аудиторы.

Читайте также