Un controllo degli account utente da parte del Dipartimento degli interni degli Stati Uniti ha rilevato che oltre il venti percento delle password potrebbe essere violato a causa della mancanza di sicurezza.
Sono stati ottenuti gli hash delle password di quasi ottantasei zero account Active Directory (AD) e oltre diciotto zero di essi sono stati violati utilizzando metodi di hacking abbastanza standard. La maggior parte di loro si è rotta nei primi novanta minuti.
Inoltre, quasi trecento degli account compromessi appartenevano a dipendenti senior e poco meno di trecento avevano privilegi elevati.
enigmi facili
Per decifrare gli hash, gli auditor hanno utilizzato due apparecchiature dal costo inferiore a 15,000 euro, composte da 16 GPU in totale, alcune risalenti a qualche generazione fa, e hanno lavorato su un elenco di oltre un miliardo di parole che potrebbero essere utilizzate nella password degli account.
Queste parole includevano semplici sequenze di tasti come "qwerty", terminologia relativa al governo degli Stati Uniti e riferimenti alla cultura popolare. Sono state utilizzate anche password ottenute da elenchi pubblicamente disponibili di violazioni dei dati da parte di organizzazioni pubbliche e private.
Tra le password più popolari c'era "Password-1234", utilizzata da quasi 500 account, e sottili variazioni, come "Password1234", "Password123€", "Password1234!", sono state utilizzate anche da centinaia di altri account.
Un'altra preoccupazione rivelata dall'audit è stata la mancanza di autenticazione a più fattori (MFA) per migliorare la sicurezza dell'account. Quasi il 90% degli High Value Asset (HVA), vitali per le operazioni delle agenzie, non ha implementato questa funzione.
Nel rapporto post-audit, è stato affermato che se un attore della minaccia dovesse ottenere l'accesso agli hash delle password dei servizi, avrebbe un tasso di successo simile a quello ottenuto dai revisori.
Oltre al suo tasso di successo, altre aree di preoccupazione evidenziate nel rapporto erano "l'elevato numero di funzionari di alto livello e password con privilegi elevati che abbiamo violato e il fatto che la maggior parte dei dipartimenti n' HVA non utilizza l'MFA". .
Un'altra preoccupazione è che praticamente tutte le password soddisfano i requisiti del ministero per le password complesse: un minimo di 12 caratteri con un mix di lettere maiuscole e minuscole, numeri e caratteri speciali.
Tuttavia, come dimostra l'audit, il rispetto di questi requisiti non si traduce necessariamente in password difficili da decifrare. Gli hacker di solito lavorano da elenchi di password che le persone usano comunemente, quindi non devono forzare ogni parola per cercare di decifrarle.
Il rapporto stesso ha fornito l'esempio della seconda password più comune che hanno trovato nell'audit, "Br0nc0 euros2012":
"Sebbene questa possa sembrare una password 'più sicura', in pratica è molto debole perché si basa su una singola parola del dizionario con sostituzioni di caratteri comuni."
L'ispettore generale ha anche affermato che le password non venivano cambiate ogni 60 giorni come previsto per i suoi dipendenti. Tuttavia, gli esperti di sicurezza attualmente non raccomandano questo tipo di consiglio, poiché incoraggia solo gli utenti a generare password più deboli per renderle più facili da ricordare.
NIST SP 800–63 Digital Identity Guidelines (si apre in una nuova scheda) consiglia di utilizzare una stringa di parole casuali nelle password, poiché sono molto più difficili da decifrare per i computer.
Inoltre, con l'avvento dei gestori di password e dei loro generatori di password integrati (ci sono anche versioni standalone), ora è più facile che mai creare password casuali super forti che ti impediscano di ricordarle tu stesso.