El Departamento del Interior de los EE. UU. (DOI) verificó casi 86.000 contraseñas del gobierno de los EE. UU. durante un control de seguridad. Se descifraron más de 18.000 14.000, casi 90 362 de ellos en solo XNUMX minutos. XNUMX Las cuentas de empleados de alto nivel son extremadamente inseguras.
Muchos medios informan una y otra vez que los usuarios privados utilizan contraseñas demasiado simples, como 12345 o Password123. Si bien a los expertos les sigue resultando difícil de creer, ahora hay evidencia de que estas contraseñas incluso se usaron dentro del gobierno de los EE. UU. Así lo demuestra el control de seguridad interno del Departamento del Interior de los Estados Unidos - DOI - Departamento del Interior.
21 por ciento de casi 86.000 contraseñas fácilmente descifradas
En un estudio, los expertos del Ministerio del Interior atacaron las 85.944 cuentas y sus contraseñas utilizando un sistema de descifrado de hash. Se prueban millones de combinaciones de contraseñas simples. Por ejemplo, se encontró que "Contraseña-1234" se usó en 478 cuentas. Además, el Departamento de EE. UU. no desactivó oportunamente las cuentas inactivas (no utilizadas) ni hizo cumplir las restricciones de antigüedad de las contraseñas, lo que dejó a más de 6.000 cuentas activas adicionales vulnerables a los ataques.
También se encontró que las prácticas administrativas del Departamento y los requisitos de complejidad de las contraseñas no eran suficientes para evitar el posible acceso no autorizado a los sistemas y datos. Durante el transcurso de la inspección, se descifraron 18.174 de 85.944, o el 21 por ciento de las contraseñas de los usuarios activos. Esto incluyó 288 cuentas con privilegios elevados y 362 cuentas en manos de altos funcionarios del gobierno de EE. UU. Casi 14.000 de las 18.174 contraseñas fueron descifradas en 90 minutos.
Autenticación multifactor faltante o no utilizada
En realidad, la autenticación de múltiples factores (MFA) con al menos un factor ha sido requerida por la autoridad durante 20 años. Sin embargo, después del control de seguridad, se determinó que las instrucciones no se habían implementado. Particularmente complicado: MFA no se implementó consistentemente en el 89 por ciento (25 de 28) de sus activos de alto valor (HVA), es decir, áreas con datos muy confidenciales. Una violación de un HVA puede interrumpir significativamente las operaciones de una agencia gubernamental y provocar la pérdida de datos confidenciales.
Seguridad desactivada debido al uso del móvil
Por lo general, los departamentos usan una tarjeta inteligente y un PIN para la autenticación, lo que se conoce como SCRIL. Sin embargo, las tarjetas inteligentes no se pueden utilizar con dispositivos móviles, teléfonos o tabletas sin hardware adicional. Según el Ministerio del Interior, SCRIL actualmente está desconectando los dispositivos móviles. Como resultado, el 94 % de las cuentas, 80.740 85.944 de XNUMX XNUMX, no tienen la seguridad habilitada.
Los expertos incluso dan al ministerio interesantes recomendaciones a modo de conclusión:
- Priorizar la implementación de PIV: Verificación de identidad personal u otros métodos MFA aprobados por el Departamento que no se pueden eludir para habilitar la autenticación de un solo factor para todas las aplicaciones.
- Desarrollo e implementación de un proceso de seguimiento y validación del estado de MFA para todos los sistemas de información del ministerio.
Rojo./sel.
Más en DOIOIG.gov