Генеральный инспектор подверг резкой критике сотрудников Департамента кибербезопасности Министерства внутренних дел США за слабые пароли, которые можно легко подобрать. Так, с помощью мощного компьютера всего за 90 минут были взломаны аккаунты 14 тысяч работников, что составило 16% от общего количества учетных записей.
Password1234 и Password123$ – такими паролями пользовались сотни сотрудников Департамента кибербезопасности. Не удивительно, что подобные комбинации, включая «Polar_bear65» и «Nationalparks2014!» были взломаны менее, чем за полтора часа. Еще 8 недель понадобилось для подбора комбинаций для 4200 учетных записей высокопоставленных сотрудников с повышенными требованиями безопасности для доступа к конфиденциальным данным и системам.
Выяснилось, что всего около 10% устройств имели двухфакторную аутентификацию.
Чтобы проверить систему безопасности, аудиторы потратили $15 тысяч на сборку мощного компьютера. Далее им были переданы криптографические хэши для 85 944 учетных записей сотрудников Active Directory (AD).
Затем аудиторы использовали список из более чем 1,5 миллиарда слов, который включал:
– словари нескольких языков;
– терминология правительства США;
– ссылки на поп-культуру;
– общедоступные списки паролей, полученные в результате прошлых утечек данных как в государственном, так и в частном секторах;
– общие шаблоны «qwerty», «123456» и другие.
Таким образом за 90 дней аудиторам удалось взломать более 20% учетных записей этого ведомства.
– Если бы злоумышленник с хорошими ресурсами перехватил хэши паролей отдела AD, он несомненно добился бы успеха, подобного нашему, – говорится в итоговом отчете проверки.
