ABD İçişleri Bakanlığı (DOI), bir güvenlik kontrolü sırasında yaklaşık 86.000 ABD hükümeti şifresini kontrol etti. 18.000'den fazla şifre kırıldı, bunların neredeyse 14.000'i sadece 90 dakikada kırıldı. 362 Üst düzey çalışan hesapları son derece güvensizdir.
Birçok medya, özel kullanıcıların 12345 veya Parola123 gibi çok basit parolalar kullandığını tekrar tekrar bildirir. Uzmanlar inanmakta güçlük çekmeye devam ederken, artık bu şifrelerin ABD hükümeti içinde bile kullanıldığına dair kanıtlar var. Bu, Amerikan İçişleri Bakanlığı - DOI - İçişleri Bakanlığı'nın iç güvenlik kontrolü ile kanıtlanmıştır.
Yaklaşık 21 şifrenin yüzde 86.000'i kolayca kırıldı
Bir çalışmada, İçişleri Bakanlığı uzmanları bir hash kırma sistemi kullanarak 85.944 hesabın tamamına ve şifrelerine saldırdı. Milyonlarca basit şifre kombinasyonu denenmiştir. Örneğin 1234 hesapta “Şifre-478” kullanıldığı tespit edildi. Ayrıca, ABD Bakanlığı etkin olmayan (kullanılmayan) hesapları zamanında devre dışı bırakmadı veya parola yaşı kısıtlamaları uygulamadı ve 6.000'den fazla ek etkin hesabı saldırılara karşı savunmasız bıraktı.
Ayrıca, Başkanlığın idari uygulamalarının ve parola karmaşıklığı gerekliliklerinin, sistemlere ve verilere olası yetkisiz erişimi engelleme konusunda yeterli olmadığı tespit edilmiştir. İnceleme sırasında, 18.174 şifreden 85.944'ü - veya aktif kullanıcı şifrelerinin yüzde 21'i - kırıldı. Buna yükseltilmiş ayrıcalıklara sahip 288 hesap ve üst düzey ABD hükümet yetkilileri tarafından tutulan 362 hesap dahildir. 14.000 şifrenin yaklaşık 18.174'i 90 dakika içinde kırıldı.
Eksik veya kullanılmayan çok faktörlü kimlik doğrulama
Aslında, en az bir faktörlü çok faktörlü kimlik doğrulama (MFA), otorite tarafından 20 yıldır zorunlu tutulmaktadır. Ancak güvenlik kontrolünden sonra talimatların uygulanmadığı belirlendi. Özellikle zorlayıcı: MFA, yüksek değerli varlıklarının (HVA) yüzde 89'unda (25'in 28'i), yani çok hassas verilere sahip alanlarda tutarlı bir şekilde uygulanmadı. Bir HVA ihlali, bir devlet kurumunun operasyonlarını önemli ölçüde aksatabilir ve hassas verilerin kaybolmasına neden olabilir.
Mobil kullanım nedeniyle devre dışı bırakılan güvenlik
Tipik olarak departmanlar, kimlik doğrulama için SCRIL olarak bilinen bir akıllı kart ve PIN kullanır. Ancak akıllı kartlar, ek donanımlar olmadan mobil cihazlar, telefon veya tabletlerle kullanılamaz. İçişleri Bakanlığı'na göre, SCRIL şu anda mobil cihazların bağlantısını kesiyor. Sonuç olarak, hesapların yüzde 94'ünde, 80.740 hesabın 85.944'ında güvenlik etkinleştirilmemiş.
Hatta uzmanlar bakanlığa ilginç tavsiyelerde bulunuyorlar:
- Tüm uygulamalar için tek faktörlü kimlik doğrulamayı etkinleştirmek için PIV – Kişisel Kimlik Doğrulaması veya diğer Departman onaylı MFA yöntemlerinin uygulanmasına öncelik verin.
- Bakanlığın tüm bilgi sistemleri için MFA statüsünün izlenmesi ve doğrulanması için bir sürecin geliştirilmesi ve uygulanması.
Kırmızı./sel
DOIOIG.gov'da daha fazlası