Всего за 90 минут были взломаны аккаунты 14 тыс. работников, а самым популярным паролем оказался Password-1234.

Генеральный инспектор Министерства внутренних дел США провел аудит безопасности систем и политик управления паролями, используемых ведомством. Как показал отчет, всего за 90 минут были взломаны аккаунты 14 тыс. работников, а самым популярным паролем оказался Password-1234.

Чтобы проверить систему безопасности, аудиторам были переданы хеши паролей от 85 944 учётных записей сотрудников в Active Directory. Затем специалисты попытались взломать эти пароли при помощи базы из 1,5 млрд слов, включающей в себя: словари из нескольких языков, правительственную терминологию США, отсылки к поп-культуре, общедоступные пароли, ставшие известными в результате прежних утечек, а также комбинации клавиш вроде QWERTY.

За первые 90 минут тестирования аудиторы взломали хэши 16% (14 тыс.) учетных записей пользователей департамента. Эксперты продолжили проводить аудит базы паролей 8 недель и выявили за это время ещё 4200 паролей.

В общей сложности удалось взломать 18 174 (около 21%) из 85 944 проверенных криптографических хэшей. При чем 288 из затронутых учетных записей имели повышенные привилегии, а 362 — принадлежали высокопоставленным государственным служащим.

В числе наиболее популярных паролей, которые удалось восстановить: Password-1234 (478 аккаунтов); Br0nc0$2012 (389 аккаунтов); Password123$ (318 аккаунтов); Password1234 (274 аккаунта); Summ3rSun2020! (191 аккаунт); 0rlando_0000 (160 аккаунтов); Password1234! (150 аккаунтов); ChangeIt123 (140 аккаунтов); 1234password$ (138 аккаунтов); ChangeItN0w! (130 аккаунтов).

Сообщается, что эксперты потратили $15 тыс. на создание установки для взлома паролей.

Интересный фактом стало то, что 99,9 % взломанных паролей формально соответствовали требованиям безопасности: имели длину не менее 12 символов и содержали 3 из 4 необходимых типов символов — строчные и прописные буквы, цифры и спецсимволы.

Как итог, госрегулятор дал рекомендации IT-службе МВД США усилить требования к правилам составления паролей, оперативно проверять срок их действия и внедрить многофакторную аутентификацию. Оказалось, что её использовали лишь 11% пользователей.

Источник: securitylab