Каждый пятый пароль, защищающий сетевые учетные записи в Министерстве внутренних дел США, во-первых, включал такие пароли, как: Password1234, Password1234! и ChangeItN0w! А во-вторых, они были достаточно слабыми, чтобы их можно было взломать стандартными методами, показал недавно опубликованный аудит безопасности ведомства.
Аудит проводился генеральным инспектором департамента, который получил криптографические хэши для 85 944 учетных записей Active Directory (AD) сотрудников. Затем аудиторы использовали список из более чем 1,5 миллиарда слов, чтобы найти совпадения.
Результаты оказались неутешительными. В общей сложности аудиторы взломали 18 174 из 85 944 проверенных криптографических хэшей: 288 из затронутых учетных записей имели повышенные привилегии, а 362 из них принадлежали высокопоставленным государственным служащим. За первые 90 минут тестирования аудиторы взломали хэши 16 процентов учетных записей пользователей департамента.
“Если бы злоумышленник, обладающий достаточными ресурсами, смог перехватить хэши паролей AD департамента, он достиг бы такого же успеха во взломе хэшей, как и мы”, – говорится в заключительном отчете инспекции.
Наиболее часто используемые пароли были следующими:
Password-1234
Password123$
Password1234
0rlando_0000
ChangeIt123
1234password$
ChangeItN0w!
TechCrunch сообщил, что аудиторы потратили менее 15 тыс долларов на создание установки для взлома паролей. Самое интересное, что подавляющее большинство (около 99,99%) паролей, взломанных аудиторами, соответствовали требованиям департамента по сложности паролей: минимум 12 символов и содержание как минимум три из четырех типов символов, среди которых прописные буквы, строчные, цифры и специальные знаки.