米国内務省 (DOI) は、セキュリティ チェック中に約 86.000 の米国政府のパスワードをチェックしました。 18.000 件以上がクラックされ、そのうち約 14.000 件がわずか 90 分でクラックされました。 362 高レベルの従業員アカウントは非常に安全ではありません。
多くのメディアは、個人ユーザーが 12345 や Password123 などの単純すぎるパスワードを使用していると繰り返し報告しています。 専門家は依然として信じがたいと考えていますが、現在、これらのパスワードが米国政府内でさえ使用されていたという証拠があります。 これは、米国内務省 - DOI - 内務省の内部セキュリティ チェックによって証明されています。
約 21 のパスワードの 86.000% が簡単にクラックされる
ある調査では、内務省の専門家がハッシュ クラッキング システムを使用して、85.944 のすべてのアカウントとそのパスワードを攻撃しました。 何百万もの単純なパスワードの組み合わせが試されています。 たとえば、「Password-1234」は 478 のアカウントで使用されていることがわかりました。 また、米国務省は、非アクティブな (未使用の) アカウントをタイムリーに無効にしたり、パスワードの有効期限の制限を適用したりしなかったため、6.000 を超えるアクティブなアカウントが攻撃に対して脆弱なままになっています。
また、同省の管理慣行とパスワードの複雑さの要件は、システムとデータへの潜在的な不正アクセスを防止するには不十分であることが判明しました。 検査の過程で、18.174 個のうち 85.944 個 (アクティブなユーザー パスワードの 21%) がクラックされました。 これには、昇格された権限を持つ 288 のアカウントと、米国政府高官が保有する 362 のアカウントが含まれていました。 14.000 個のパスワードのうち、ほぼ 18.174 個が 90 分以内にクラックされました。
多要素認証がない、または使用されていない
実際、少なくとも 20 つの要素を使用する多要素認証 (MFA) は、当局によって 89 年間要求されています。 しかし、セキュリティチェックの結果、指示が実行されていないと判断されました。 特に注意が必要なのは、MFA が高価値資産 (HVA) の 25% (28 のうち XNUMX)、つまり非常に機密性の高いデータを含む領域に一貫して実装されていなかったことです。 HVA が侵害されると、政府機関の業務が大幅に中断され、機密データが失われる可能性があります。
モバイル使用によるセキュリティの無効化
通常、部門は認証にスマート カードと PIN (SCRIL と呼ばれる) を使用します。 ただし、ハードウェアを追加しないと、スマート カードをモバイル デバイス、電話、またはタブレットで使用することはできません。 内務省によると、SCRIL は現在モバイル デバイスを切断しています。 その結果、アカウントの 94% (80.740 のうち 85.944) でセキュリティが有効になっていません。
専門家は、結論として、同省に興味深い提言をしています。
- すべてのアプリケーションに対して単一要素認証を有効にするために回避できない PIV – Personal Identity Verification またはその他の部門が承認した MFA 方法の実装を優先します。
- 省のすべての情報システムの MFA ステータスを追跡および検証するためのプロセスの開発と実装。
赤/セル
詳細は DOIOIG.gov をご覧ください