Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Немногим более одной пятой от всех паролей, используемых в системе Министерства внутренних дел США, оказались достаточно слабыми, чтобы их можно было взломать стандартными методами, говорится в отчёте (PDF), составленном по итогам аудита безопасности в ведомстве.
Проводившие инспекцию эксперты получили хеши паролей от 85 944 учётных записей сотрудников в Active Directory. Далее эти пароли попытались взломать при помощи базы из 1,5 млрд слов, включающей в себя: словари из нескольких языков, правительственную терминологию США, отсылки к поп-культуре, общедоступные пароли, ставшие известными в результате прежних утечек, а также комбинации клавиш вроде QWERTY. Это позволило взломать 18 174 или 21 % паролей. При этом 288 соответствующих учётных записей имели высокие привилегии в системе, а 362 принадлежали высокопоставленным сотрудникам ведомства. Только за первые 90 минут удалось взломать 16 % учётных записей. Проверка также выявила ещё одну уязвимость в защите — фактическую неспособность ведомства внедрить многофакторную авторизацию на 25 (или 89 %) особо ценных ресурсах из 28, взлом которых может серьёзно повлиять на работу ведомства.
Вот каким оказался список самых популярных паролей:
Для взлома эксперты использовали систему из 16 видеокарт на 2 или 3 поколения старше актуальных продуктов. Примечательно, что 99,9 % взломанных паролей формально отвечали требованиям безопасности: имели длину не менее 12 символов и содержали 3 из 4 необходимых типов символов — строчные и прописные буквы, цифры и спецсимволы.
Источник: