Даже некоторые крупнейшие федеральные агентства США плохо разбираются в паролях.
вычисления techradar.com Новости

Даже некоторые крупнейшие федеральные агентства США плохо разбираются в паролях.

11 января 2023 г.

Аудит учетных записей пользователей в Министерстве внутренних дел США показал, что более 20 % паролей могут быть быть взломан из-за отсутствия безопасности.

Были получены хэши паролей для почти 86 000 учетных записей Active Directory (AD), и более 18 000 из них были взломаны с использованием довольно стандартных методов взлома. Большинство из них были взломаны в течение первых 90 минут.

Более того, почти 300 взломанных учетных записей принадлежали старшим сотрудникам, и чуть менее 300 имели повышенные привилегии.

Простые предположения

Чтобы взломать хэши, аудиторы использовали две установки стоимостью менее 15 000 долларов США, состоящие в общей сложности из 16 графических процессоров (некоторые из них были старше нескольких поколений) и проработали список из более чем миллиарда слов, которые, вероятно, будут использоваться в отчетах' пароли.

Такие слова включали простой ввод с клавиатуры, например «qwerty», терминологию, связанную с правительством США, и отсылки к популярной культуре. Также использовались пароли, полученные из общедоступных списков утечек данных частных и публичных организаций.

Среди самых популярных паролей был «Пароль-1234», который использовался почти в 500 учетных записях. сотни других аккаунтов.

Еще одной проблемой, выявленной в ходе аудита, было отсутствие многофакторной аутентификации (MFA) для повышения безопасности аккаунта. Почти 90 % ценных активов (HVA), жизненно важных для деятельности агентств, не удалось внедрить эту функцию.

В отчете по результатам аудита было указано, что если злоумышленник получит доступ к хэшам паролей отделов, они будут иметь такой же уровень успеха, как и аудиторы.

Помимо их уровня успеха, в отчете отмечены и другие проблемы, вызывающие озабоченность: «большое количество повышенных привилегий и старших пароли государственных служащих, которые мы взломали, и тот факт, что большинство HVA Департамента не использовали MFA».

Еще одна проблема заключается в том, что практически все пароли соответствовали требованиям Департамента к надежным паролям — минимум 12. символы со смесью регистров, цифр и специальных символов. 

подробнее

> Нам нужно серьезно относиться к своим паролям, давайте<сильный>

> Apple, Google и Microsoft объединяют усилия, чтобы избавиться от паролей

> Эксклюзив: большинство людей по-прежнему повторно используют свои пароли, несмотря на годы взлома

Однако, как показывает аудит, соблюдение этих требований не обязательно приводит к созданию паролей, которые трудно взломать. Хакеры обычно работают со списками паролей, которые обычно используют люди, поэтому им не нужно перебирать каждое слово, чтобы попытаться взломать их.

В самом отчете приводится пример второго наиболее распространенного пароля, обнаруженного в ходе аудита, "Br0nc0$2012": 

"Хотя этот пароль может показаться более надежным, на практике он очень слаб, потому что основан на одном словарном слове с обычными заменами символов».

Генеральный инспектор также заявил, что пароли не менялись каждые 60 дней, как это предусмотрено для их сотрудников. , такие советы сегодня не рекомендуются экспертами по безопасности, поскольку они только поощряют пользователей генерировать более слабые пароли, чтобы их было легче запомнить.

The  Рекомендации NIST SP 800–63 по цифровой идентификации рекомендуют вместо этого использовать в паролях строку случайных слов, поскольку компьютеру гораздо труднее их взломать. < /p>

Более того, с появлением менеджеров паролей и их встроенных генераторов паролей (есть также стоят только версии), теперь проще, чем когда-либо, создавать очень надежные и случайные пароли, которые избавят вас от необходимости запоминать их самостоятельно.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE