Le Département américain de l'intérieur (DOI) a vérifié près de 86.000 18.000 mots de passe du gouvernement américain lors d'un contrôle de sécurité. Plus de 14.000 90 ont été piratés, dont près de 362 XNUMX en seulement XNUMX minutes. XNUMX Les comptes des employés de haut niveau sont extrêmement précaires.
De nombreux médias rapportent sans cesse que les utilisateurs privés utilisent des mots de passe trop simples, comme 12345 ou Password123. Alors que les experts continuent d'avoir du mal à le croire, il existe maintenant des preuves que ces mots de passe ont même été utilisés au sein du gouvernement américain. Ceci est prouvé par le contrôle de sécurité interne du département américain de l'intérieur - DOI - Department of the Interior.
21 % des près de 86.000 XNUMX mots de passe sont facilement déchiffrables
Dans une étude, des experts du ministère de l'Intérieur ont attaqué les 85.944 1234 comptes et leurs mots de passe à l'aide d'un système de craquage de hachage. Des millions de combinaisons de mots de passe simples sont testées. Par exemple, il a été constaté que "Mot de passe-478" était utilisé dans 6.000 comptes. De plus, le département américain n'a pas désactivé en temps opportun les comptes inactifs (inutilisés) ni appliqué les restrictions d'âge des mots de passe, laissant plus de XNUMX XNUMX comptes actifs supplémentaires vulnérables aux attaques.
Il a également été constaté que les pratiques administratives du Ministère et les exigences en matière de complexité des mots de passe n'étaient pas suffisantes pour empêcher un éventuel accès non autorisé aux systèmes et aux données. Au cours de l'inspection, 18.174 85.944 mots de passe sur 21 288, soit 362 % des mots de passe des utilisateurs actifs, ont été piratés. Cela comprenait 14.000 comptes avec des privilèges élevés et 18.174 comptes détenus par de hauts responsables du gouvernement américain. Près de 90 XNUMX des XNUMX XNUMX mots de passe ont été piratés en XNUMX minutes.
Authentification multifacteur manquante ou inutilisée
En fait, l'authentification multi-facteurs (MFA) avec au moins un facteur est exigée par l'autorité depuis 20 ans. Cependant, après le contrôle de sécurité, il a été déterminé que les instructions n'avaient pas été mises en œuvre. Particulièrement délicat : la MFA n'a pas été systématiquement mise en œuvre sur 89 % (25 sur 28) de ses actifs de grande valeur (HVA), c'est-à-dire des zones contenant des données très sensibles. Une violation d'un HVA peut considérablement perturber les opérations d'un organisme gouvernemental et entraîner la perte de données sensibles.
Sécurité désactivée en raison d'une utilisation mobile
En règle générale, les ministères utilisent une carte à puce et un code PIN pour l'authentification - connue sous le nom de SCRIL. Cependant, les cartes à puce ne peuvent pas être utilisées avec des appareils mobiles, des téléphones ou des tablettes sans matériel supplémentaire. Selon le ministère de l'Intérieur, SCRIL déconnecte actuellement les appareils mobiles. Par conséquent, 94 % des comptes, soit 80.740 85.944 sur XNUMX XNUMX, n'ont pas de sécurité activée.
Les experts donnent même au ministère des recommandations intéressantes en conclusion :
- Donner la priorité à la mise en œuvre de PIV - Personal Identity Verification ou d'autres méthodes MFA approuvées par le Département qui ne peuvent être contournées pour permettre l'authentification à facteur unique pour toutes les applications.
- Élaboration et mise en œuvre d'un processus de suivi et de validation du statut d'AMF pour tous les systèmes d'information du ministère.
Rouge./sel
Plus sur DOIOIG.gov