O Departamento do Interior dos EUA (DOI) verificou quase 86.000 senhas do governo dos EUA durante uma verificação de segurança. Mais de 18.000 foram quebrados, quase 14.000 deles em apenas 90 minutos. 362 Contas de funcionários de alto nível são extremamente inseguras.
Muitos meios de comunicação relatam repetidas vezes que usuários privados usam senhas muito simples, como 12345 ou Password123. Embora os especialistas continuem achando difícil de acreditar, agora há evidências de que essas senhas foram usadas até mesmo dentro do governo dos EUA. Isso é comprovado pela verificação de segurança interna do American Department of the Interior - DOI - Department of the Interior.
21 por cento de quase 86.000 senhas facilmente quebradas
Em um estudo, especialistas do Ministério do Interior atacaram todas as 85.944 contas e suas senhas usando um sistema de quebra de hash. Milhões de combinações simples de senha são testadas. Por exemplo, descobriu-se que “Password-1234” foi usado em 478 contas. Além disso, o Departamento dos EUA não desativou contas inativas (não utilizadas) em tempo hábil ou impôs restrições de idade de senha, deixando mais de 6.000 contas ativas adicionais vulneráveis a ataques.
Verificou-se também que as práticas administrativas do Departamento e os requisitos de complexidade de senha não eram suficientes para impedir o acesso não autorizado potencial aos sistemas e dados. Durante a inspeção, 18.174 de 85.944 – ou 21 por cento das senhas de usuários ativos – foram quebradas. Isso incluiu 288 contas com privilégios elevados e 362 contas mantidas por altos funcionários do governo dos EUA. Quase 14.000 das 18.174 senhas foram quebradas em 90 minutos.
Autenticação multifator ausente ou não utilizada
Na verdade, a autenticação multifator (MFA) com pelo menos um fator é exigida pela autoridade há 20 anos. No entanto, após a verificação de segurança, foi determinado que as instruções não foram implementadas. Particularmente complicado: o MFA não foi implementado de forma consistente em 89% (25 de 28) de seus ativos de alto valor (HVA), ou seja, áreas com dados muito confidenciais. Uma violação de um HVA pode interromper significativamente as operações de uma agência governamental e resultar na perda de dados confidenciais.
Segurança desativada devido ao uso móvel
Normalmente, os departamentos usam um smart card e um PIN para autenticação - conhecido como SCRIL. No entanto, os cartões inteligentes não podem ser usados com dispositivos móveis, telefones ou tablets sem hardware adicional. Segundo o Ministério do Interior, a SCRIL está neste momento a desligar os dispositivos móveis. Como resultado, 94 por cento das contas, 80.740 de 85.944, não têm segurança habilitada.
Os especialistas até dão ao ministério recomendações interessantes em conclusão:
- Priorize a implementação de PIV – verificação de identidade pessoal ou outros métodos MFA aprovados pelo departamento que não podem ser contornados para habilitar a autenticação de fator único para todos os aplicativos.
- Desenvolvimento e implementação de um processo de acompanhamento e validação do estatuto do MFA para todos os sistemas de informação do ministério.
Vermelho./sel
Mais em DOIOIG.gov