Il Dipartimento degli Interni degli Stati Uniti (DOI) ha controllato quasi 86.000 password del governo degli Stati Uniti durante un controllo di sicurezza. Oltre 18.000 sono stati violati, quasi 14.000 in soli 90 minuti. 362 Gli account dei dipendenti di alto livello sono estremamente insicuri.
Molti media riportano ripetutamente che gli utenti privati utilizzano password troppo semplici, come 12345 o Password123. Mentre gli esperti continuano a trovarlo difficile da credere, ora ci sono prove che queste password siano state utilizzate anche all'interno del governo degli Stati Uniti. Lo prova il controllo di sicurezza interno del Department of the Interior americano - DOI - Department of the Interior.
Il 21 percento di quasi 86.000 password è facilmente violabile
In uno studio, gli esperti del ministero dell'Interno hanno attaccato tutti gli 85.944 account e le loro password utilizzando un sistema di hash cracking. Vengono provate milioni di semplici combinazioni di password. Ad esempio, è stato riscontrato che "Password-1234" è stato utilizzato in 478 account. Inoltre, il Dipartimento degli Stati Uniti non ha disattivato tempestivamente gli account inattivi (non utilizzati) o imposto limiti di età delle password, lasciando più di 6.000 account attivi aggiuntivi vulnerabili agli attacchi.
È stato inoltre riscontrato che le pratiche amministrative del Dipartimento ei requisiti di complessità delle password non erano sufficienti per impedire un potenziale accesso non autorizzato ai sistemi e ai dati. Nel corso dell'ispezione, 18.174 su 85.944, ovvero il 21% delle password utente attive, sono state violate. Ciò includeva 288 account con privilegi elevati e 362 account detenuti da alti funzionari del governo degli Stati Uniti. Quasi 14.000 delle 18.174 password sono state violate in 90 minuti.
Autenticazione a più fattori mancante o inutilizzata
In realtà, l'autenticazione a più fattori (MFA) con almeno un fattore è richiesta dall'autorità da 20 anni. Tuttavia, dopo il controllo di sicurezza, è stato stabilito che le istruzioni non erano state attuate. Particolarmente complicato: l'MFA non è stato implementato in modo coerente sull'89% (25 su 28) delle sue risorse ad alto valore (HVA), ovvero aree con dati molto sensibili. Una violazione di un HVA può interrompere in modo significativo le operazioni di un ente governativo e provocare la perdita di dati sensibili.
Sicurezza disabilitata a causa dell'uso mobile
In genere, i reparti utilizzano una smart card e un PIN per l'autenticazione, noto come SCRIL. Tuttavia, le smart card non possono essere utilizzate con dispositivi mobili, telefoni o tablet senza hardware aggiuntivo. Secondo il ministero dell'Interno, SCRIL sta attualmente disconnettendo i dispositivi mobili. Di conseguenza, il 94% degli account, 80.740 su 85.944, non ha la sicurezza abilitata.
Gli esperti danno anche al ministero raccomandazioni interessanti in conclusione:
- Dai la priorità all'implementazione di PIV (Personal Identity Verification) o altri metodi MFA approvati dal dipartimento che non possono essere aggirati per abilitare l'autenticazione a fattore singolo per tutte le applicazioni.
- Sviluppo e implementazione di un processo per il monitoraggio e la convalida dello stato AMF per tutti i sistemi informativi del ministero.
Rosso./sel
Altro su DOIOIG.gov