В ходе аудита удалось подобрать 21% паролей сотрудников МВД США

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 11 Jan 2023.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,485
    Likes Received:
    7,075
    Reputations:
    693
    Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 - с высокопоставленным госслужащими.

    Примечательно, что 99.99% определённых паролей соответствовали правилам выбора сложного пароля, требующим использования в пароле не менее чем 12 символов, а также наличия символов в разных регистрах, цифр и спецсимволов. Подобные требования не помогли избежать указания тривиально подбираемых паролей, например, пароль "Password-1234" использовался 478 сотрудниками, Password123$ - 318, Password1234 - 274, Password1234! - 150, 1234password$ - 138. Более того, пароль у 4.75% активных пользователей основывался на манипуляции со словом "password". Другие популярные пароли: Br0nc0$2012 - 389, Summ3rSun2020! - 191, 0rlando_0000 - 160, ChangeIt123 - 140 и ChangeItN0w! - 130.

    Для подбора паролей по хэшам использовалась система с 16 GPU, которая в первые 90 минут смогла подобрать пароли 16% сотрудников (на подбор оставшихся 5% ушло 8 недель). Проверка осуществлялась при помощи коллекции в 1.5 млрд слов, в которую были включены словари для различных языков, словарь специфичных для министерства терминов, типовые последовательности вида "qwerty" и публично доступные списки паролей, полученных в результате утечек и взломов. При переборе учитывались типовые замены букв на цифры и спецсимволы. В качестве методов для усложнения подбора рекомендовано использовать длинные пароли из нескольких слов или автоматически генерировать менеджерами паролей случайные последовательности символов.

    Другой выявленной в ходе аудита проблемой стало низкое распространение многофакторной аутентификации, которая применялась лишь в 11% значимых ресурсов (3 из 28), компрометация которых могла нанести серьёзный ущерб организации.

     
    _________________________
    #1 Suicide, 11 Jan 2023
    seostock likes this.
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.