Инспекторы по кибербезопасности взломали каждый пятый пароль в системе одного из американских министерств

Пятую часть паролей к аккаунтам Министерства внутренних дел США можно взломать стандартным методом. Такие результаты показала недавняя проверка безопасности ведомства. Об этом со ссылкой на ArsTechnica пишет MC.today.

Аудиторы получили хэши паролей до 85 944 аккаунтов сотрудников Active Directory. Затем эти пароли пытались взломать. Инспекторы использовали список из более 1,5 миллиарда слов, который содержал: словари многих языков, правительственную терминологию США, ссылки на поп-культуру, общедоступные списки паролей, собранные после прошлых утечек данных, а также общие шаблоны типа qwerty.

Таким способом смогли взломать 18 174 (или 21%) из 85 944 паролей. Кроме того, 288 из взломанных аккаунтов имели повышенные привилегии в системе, 362 принадлежали государственным служащим высшего звена. Только за первые 90 минут тестирования аудиторы взломали пароли от 16% аккаунтов.

Также в ходе проверки было обнаружено, что ведомство фактически не способно внедрить многофакторную авторизацию на большинстве (89%) особо ценных ресурсов. В случае взлома это серьезно отразится на работе министерства.

Интересно, что почти все пароли формально соответствовали требованиям. То есть они состояли из более чем 12 символов, а также содержали строчные и прописные буквы, цифры и спецсимволы. Вот самые популярные пароли и количество аккаунтов, которые использовали такой пароль:

• Password-1234 (478);
• Br0nc0$2012 (389);
• Password123$ (318);
• Password1234 (274);
• Summ3rSun2020! (191).

Раньше мы рассказывали, как противостоять кибератакам и какие уровни защиты необходимы.