O Hashcat, projeto open-source mantido pelo programador austríaco Jens Steube sob o pseudónimo “atom”, ostenta o recorde mundial de velocidade de recuperação de palavras-passe por força bruta em GPUs. Distribuído sob licença MIT, o software suporta mais de 320 tipos de hash diferentes e tornou-se a ferramenta de referência em auditorias de segurança, forense digital e competições como o Crack Me If You Can da DefCon.

Pontos-chave

  • Software mais rápido do mundo de recuperação de passwords, acelerado por GPU.
  • Suporta mais de 320 algoritmos de hash, incluindo NTLM, bcrypt, SHA-256 e WPA2.
  • Criado por Jens Steube (“atom”), também autor do wpa_supplicant cracking suite.
  • Modos: straight, combinação, regra, brute-force, híbrido e mask attack.
  • Concorrente direto do John the Ripper — open-source desde 2009.

O que é o Hashcat

O Hashcat é um recuperador de palavras-passe que explora a capacidade de processamento paralelo de unidades de processamento gráfico (GPUs) para testar combinações de palavras-passe contra hashes criptográficos. A sua arquitetura kernel-based executa diretamente sobre CUDA da NVIDIA, OpenCL da AMD e, desde 2023, Metal da Apple — suportando também CPUs quando não há GPU disponível.

O projeto nasceu em 2009 como ferramenta proprietária para Windows. Em 2015, Steube libertou o código-fonte sob licença MIT e reescreveu a base de CUDA para um novo backend unificado — a versão v3.0. Desde então, a comunidade adicionou dezenas de módulos de hash por ano, com a documentação pública em hashcat.net/hashcat a listar todos os algoritmos suportados com exemplos de invocação.

Funcionalidades principais

O modo mask attack é a inovação característica do Hashcat. Em vez de testar combinações aleatórias, o utilizador define um padrão — por exemplo ?u?l?l?l?l?d?d?d?d para uma palavra-passe com inicial maiúscula, quatro minúsculas e quatro dígitos. A ferramenta gera apenas as combinações que obedecem à máscara, reduzindo o tempo de processamento em ordens de magnitude.

O motor de regras aplica transformações a wordlists existentes: capitalizar, inverter, adicionar sufixos numéricos, substituir vogais por números. A regra best64.rule, incluída na distribuição, aplica 77 transformações a cada palavra do dicionário — multiplicando a cobertura sem aumentar o tamanho do ficheiro.

A funcionalidade brain, adicionada em 2019, distribui o trabalho entre múltiplas máquinas. Uma instância central coordena os nós GPU, evitando que duas máquinas testem a mesma faixa de combinações. Em rigs com 8 GPUs RTX 4090, o Hashcat atinge taxas acima de 164 GH/s para SHA-256 — o que permite testar todos os hashes NTLM duma base do Active Directory em poucos minutos.

Casos de uso reais

Consultores de segurança executam o Hashcat como rotina após extração de hashes dum domínio Windows comprometido durante pentests. A sequência é direta: extrair o ficheiro NTDS.dit via técnicas documentadas no ExploitDB, converter para formato legível pelo Hashcat e correr um mask attack de 30 minutos. Em organizações sem política de passwords forte, mais de 60% das contas são recuperadas nesse período.

Equipas de resposta forense empregam a ferramenta em investigações criminais para abrir ficheiros protegidos por palavra-passe apreendidos. A capacidade do Hashcat de testar hashes extraídos de formatos como Office, PDF, ZIP, RAR e Kee tornou-o parte da caixa de ferramentas de agências como o FBI e a Polícia Judiciária portuguesa.

Investigadores académicos usam o Hashcat em estudos sobre a resistência de algoritmos de hashing de passwords. Um estudo publicado em 2023 no USENIX Security demonstrou que hashes bcrypt com cost factor 12 resistem durante 28 anos a um ataque de 8 GPUs RTX 4090 — enquanto Argon2id, vencedor da Password Hashing Competition de 2015, oferece resistência equivalente com metade do tempo de computação.

Mercado de password cracking

O Hashcat divide o mercado de password recovery com o John the Ripper, projeto open-source lançado em 1996 por Alexander Peslyak (Solar Designer). O John mantém vantagem em suporte a hashes obscuros de aplicações legadas; o Hashcat domina em velocidade bruta graças à otimização de GPU.

Os custos de hardware para rigs profissionais variam entre 8 mil dólares (4 GPUs RTX 4090) e 100 mil dólares (8 GPUs especializadas em datacenter). A empresa americana Sagitta HPC vende aparelhos pré-configurados para Hashcat, enquanto provedores de cloud como a AWS oferecem instâncias p4d.24xlarge com 8 GPUs A100 sob demanda.

Considerações para adoção

A utilização do Hashcat contra hashes obtidos sem autorização configura crime. Em Portugal, o artigo 6.º da Lei 109/2009 sobre cibercrime criminaliza o acesso não autorizado a sistemas e a extração de credenciais. O mesmo se aplica no Brasil pela Lei 12.737/2012 — a “Lei Carolina Dieckmann”.

A contramedida eficaz contra ataques de Hashcat é a adoção de políticas rigorosas: passwords com mínimo de 12 caracteres, frases-passe em vez de palavras isoladas, hashing com Argon2id ou bcrypt cost factor 12 ou superior. A armadilha frequente em auditorias é a reutilização de passwords — um único hash NTLM recuperado fornece frequentemente acesso a contas de e-mail, VPN e serviços cloud do mesmo utilizador, um padrão observado em investigações que envolvem ferramentas como o Cain e Abel.

O repositório oficial está em hashcat.net/hashcat, com binários para Linux, Windows e macOS, e a wiki com benchmarks de GPUs específicas em hashcat.net/wiki.