Міністерство внутрішніх справ США (DOI) під час перевірки безпеки перевірило майже 86.000 тисяч паролів уряду США. Понад 18.000 14.000 було зламано, майже 90 362 з них лише за XNUMX хвилин. XNUMX Облікові записи високопоставлених працівників надзвичайно незахищені.
Багато ЗМІ знову і знову повідомляють, що приватні користувачі використовують надто прості паролі, наприклад 12345 або Password123. Хоча експертам продовжує важко повірити, тепер є докази того, що ці паролі навіть використовувалися в уряді США. Це доводить перевірка внутрішньої безпеки американського міністерства внутрішніх справ - DOI - Department of the Interior.
21 відсоток із майже 86.000 XNUMX паролів легко зламати
У ході дослідження експерти МВС атакували всі 85.944 1234 акаунти та їхні паролі за допомогою системи злому хешів. Перепробовано мільйони простих комбінацій паролів. Наприклад, виявилося, що «Пароль-478» використовувався в 6.000 акаунтах. Крім того, Департамент США вчасно не вимкнув неактивні (невикористані) облікові записи або не застосував вікові обмеження для паролів, залишивши понад XNUMX додаткових активних облікових записів уразливими для атак.
Також було виявлено, що адміністративна практика Департаменту та вимоги до складності паролів недостатні для запобігання потенційному несанкціонованому доступу до систем і даних. Під час перевірки було зламано 18.174 85.944 із 21 288, або 362 відсоток активних паролів користувачів. Це включало 14.000 облікових записів із підвищеними привілеями та 18.174 облікові записи високопоставлених урядовців США. Майже 90 XNUMX із XNUMX XNUMX паролів було зламано протягом XNUMX хвилин.
Багатофакторна автентифікація відсутня або не використовується
Фактично, багатофакторна автентифікація (MFA) з принаймні одним фактором вимагалася органами влади протягом 20 років. Однак після перевірки безпеки було встановлено, що інструкція не була виконана. Особливо складно: MFA не було послідовно впроваджено на 89 відсотках (25 з 28) його цінних активів (HVA), тобто областей з дуже конфіденційними даними. Порушення HVA може значно порушити роботу державного органу та призвести до втрати конфіденційних даних.
Безпека вимкнена через мобільне використання
Як правило, відділи використовують смарт-картку та PIN-код для автентифікації, відомий як SCRIL. Однак смарт-карти не можна використовувати з мобільними пристроями, телефонами чи планшетами без додаткового обладнання. За даними МВС, зараз SCRIL відключає мобільні пристрої. У результаті 94 відсотки облікових записів, 80.740 85.944 із XNUMX XNUMX, не мають безпеки.
На завершення експерти навіть дають міністерству цікаві рекомендації:
- Щоб увімкнути однофакторну автентифікацію для всіх програм, надайте пріоритет реалізації PIV – підтвердження особи або інших затверджених Департаментом методів MFA, які неможливо обійти.
- Розробка та впровадження процесу відстеження та підтвердження статусу МЗС для всіх інформаційних систем міністерства.
Ред./сел
Більше на DOIOIG.gov