चेक करें: अमेरिकी आंतरिक विभाग ने 18.000 आंतरिक पासवर्ड क्रैक किए

अमेरिकी आंतरिक विभाग (डीओआई) ने सुरक्षा जांच के दौरान लगभग 86.000 अमेरिकी सरकार के पासवर्ड की जांच की। 18.000 से अधिक क्रैक किए गए, उनमें से लगभग 14.000 केवल 90 मिनट में। 362 उच्च-स्तरीय कर्मचारियों के खाते अत्यधिक असुरक्षित हैं।

कई मीडिया बार-बार रिपोर्ट करते हैं कि निजी उपयोगकर्ता ऐसे पासवर्ड का उपयोग करते हैं जो बहुत ही सरल हैं, जैसे कि 12345 या Password123। जबकि विशेषज्ञों को इस पर विश्वास करना कठिन लगता है, अब सबूत हैं कि ये पासवर्ड अमेरिकी सरकार के भीतर भी इस्तेमाल किए गए थे। यह अमेरिकी आंतरिक विभाग - डीओआई - आंतरिक विभाग के आंतरिक सुरक्षा जांच से सिद्ध होता है।

लगभग 21 पासवर्ड में से 86.000 प्रतिशत आसानी से क्रैक हो जाते हैं

एक अध्ययन में, आंतरिक मंत्रालय के विशेषज्ञों ने हैश क्रैकिंग सिस्टम का उपयोग करके सभी 85.944 खातों और उनके पासवर्ड पर हमला किया। लाखों सरल पासवर्ड संयोजन आजमाए जाते हैं। उदाहरण के लिए, यह पाया गया कि 1234 खातों में "पासवर्ड -478" का उपयोग किया गया था। इसके अलावा, अमेरिकी विभाग ने निष्क्रिय (अप्रयुक्त) खातों को समय पर अक्षम नहीं किया या पासवर्ड आयु प्रतिबंधों को लागू नहीं किया, जिससे 6.000 से अधिक अतिरिक्त सक्रिय खाते हमलों की चपेट में आ गए।

यह भी पाया गया कि विभाग की प्रशासनिक प्रथाएं और पासवर्ड जटिलता आवश्यकताएं सिस्टम और डेटा तक संभावित अनधिकृत पहुंच को रोकने के लिए पर्याप्त नहीं थीं। निरीक्षण के दौरान, 18.174 में से 85.944 या सक्रिय उपयोगकर्ता पासवर्ड का 21 प्रतिशत क्रैक किया गया। इसमें उच्च विशेषाधिकार वाले 288 खाते और वरिष्ठ अमेरिकी सरकारी अधिकारियों के पास 362 खाते शामिल थे। 14.000 पासवर्ड में से लगभग 18.174 को 90 मिनट के अंदर क्रैक कर लिया गया।

गुम या अप्रयुक्त बहु-कारक प्रमाणीकरण

दरअसल, प्राधिकरण द्वारा 20 वर्षों के लिए कम से कम एक कारक के साथ बहु-कारक प्रमाणीकरण (एमएफए) की आवश्यकता होती है। हालाँकि, सुरक्षा जाँच के बाद, यह निर्धारित किया गया था कि निर्देशों को लागू नहीं किया गया था। विशेष रूप से पेचीदा: ​​एमएफए को इसकी उच्च मूल्य संपत्ति (एचवीए) के 89 प्रतिशत (25 में से 28) पर लगातार लागू नहीं किया गया था, यानी बहुत संवेदनशील डेटा वाले क्षेत्र। एक एचवीए का उल्लंघन एक सरकारी एजेंसी के संचालन को महत्वपूर्ण रूप से बाधित कर सकता है और इसके परिणामस्वरूप संवेदनशील डेटा की हानि हो सकती है।

मोबाइल उपयोग के कारण अक्षम सुरक्षा

आमतौर पर, विभाग प्रमाणीकरण के लिए एक स्मार्ट कार्ड और पिन का उपयोग करते हैं - जिसे एससीआरआईएल के रूप में जाना जाता है। हालाँकि, अतिरिक्त हार्डवेयर के बिना स्मार्ट कार्ड का उपयोग मोबाइल उपकरणों, टेलीफोन या टैबलेट के साथ नहीं किया जा सकता है। आंतरिक मंत्रालय के अनुसार, SCRIL वर्तमान में मोबाइल उपकरणों को डिस्कनेक्ट कर रहा है। नतीजतन, 94 प्रतिशत खातों, 80.740 में से 85.944 में सुरक्षा सक्षम नहीं है।

विशेषज्ञ भी मंत्रालय को निष्कर्ष में दिलचस्प सिफारिशें देते हैं:

• PIV के कार्यान्वयन को प्राथमिकता दें - व्यक्तिगत पहचान सत्यापन या अन्य विभाग-अनुमोदित MFA विधियाँ जिन्हें सभी अनुप्रयोगों के लिए एकल-कारक प्रमाणीकरण को सक्षम करने के लिए दरकिनार नहीं किया जा सकता है।
• मंत्रालय की सभी सूचना प्रणालियों के लिए एमएफए स्थिति को ट्रैक करने और मान्य करने के लिए एक प्रक्रिया का विकास और कार्यान्वयन।

लाल/सेल

विषय से संबंधित लेख