En granskning av användarkonton av det amerikanska inrikesdepartementet visade att mer än tjugo procent av lösenorden kunde knäckas på grund av bristande säkerhet.
Lösenordshashar för nästan åttiosex noll Active Directory (AD)-konton erhölls, och över arton noll av dem hackades med ganska vanliga hackningsmetoder. De flesta av dem gick sönder under de första nittio minuterna.
Dessutom tillhörde nästan trehundra av de hackade kontona ledande anställda och knappt trehundra hade förhöjda privilegier.
lätta gåtor
För att knäcka hashen använde revisorerna två delar av utrustning som kostade mindre än 15,000 16 euro, som består av totalt XNUMX GPU:er, några som går tillbaka några generationer, och arbetade på en lista med mer än en miljard ord som troligen kommer att användas i kontonas lösenord.
Dessa ord inkluderade enkla tangenttryckningar som "qwerty", USA-regeringsrelaterad terminologi och referenser till populärkultur. Lösenord som erhållits från allmänt tillgängliga listor över dataintrång från offentliga och privata organisationer användes också.
Bland de mest populära lösenorden var "Password-1234", som användes av nästan 500 konton, och subtila varianter, som "Password1234", "Password123€", "Password1234!", användes också av hundratals andra konton.
En annan oro som avslöjades av revisionen var bristen på multifaktorautentisering (MFA) för att förbättra kontosäkerheten. Nästan 90 % av High Value Assets (HVAs), som är avgörande för byråverksamhet, har inte implementerat denna funktion.
I efterrevisionsrapporten angavs att om en hotaktör skulle få tillgång till tjänsternas lösenordshaschar skulle de ha en framgångsfrekvens liknande den som revisorerna uppnådde.
Utöver dess framgångsfrekvens, var andra områden av oro som lyftes fram i rapporten "det stora antalet högnivåtjänstemän och lösenord med hög privilegie som vi hackade, och det faktum att de flesta Department n' HVAs inte använder MFA." .
En annan oro är att så gott som alla lösenord uppfyllde ministeriets krav på starka lösenord: minst 12 tecken med en blandning av stora och små bokstäver, siffror och specialtecken.
Men som granskningen visar innebär att uppfylla dessa krav inte nödvändigtvis svåra att knäcka lösenord. Hackare arbetar vanligtvis utifrån listor med lösenord som folk ofta använder, så de behöver inte brutalt tvinga varje ord för att försöka knäcka dem.
Själva rapporten gav exemplet på det näst vanligaste lösenordet de hittade i granskningen, "Br0nc0 euros2012":
"Även om det här kan verka som ett "säkrare" lösenord, är det i praktiken väldigt svagt eftersom det är baserat på ett enda ord från ordboken med vanliga teckenersättningar."
Generalinspektören sa också att lösenorden inte ändrades var 60:e dag som föreskrivs för hans anställda. Säkerhetsexperter rekommenderar dock för närvarande inte denna typ av råd, eftersom det bara uppmuntrar användare att generera svagare lösenord för att göra dem lättare att komma ihåg.
NIST SP 800–63 Digital Identity Guidelines (öppnas i en ny flik) rekommenderar att du använder en rad slumpmässiga ord i dina lösenord, eftersom de är mycket svårare för datorer att knäcka.
Dessutom, med tillkomsten av lösenordshanterare och deras inbyggda lösenordsgeneratorer (det finns också fristående versioner), är det nu enklare än någonsin att skapa superstarka slumpmässiga lösenord som hindrar dig från att komma ihåg dem själv.