Top50 2024

U bezbednosnom audit-u u američkom ministarstvu provaljena je svaka peta lozinka

Bezbednosna provera koja je organizovana u Ministarstvu unutrašnjih poslova SAD-a utvrdila je da je više od petine lozinki koje zaposleni upotrebljavaju lako otkriti upotrebom standardnih metoda provere.

PCPress.rs Image

Provera se sastojala od preuzimanja kriptografskih podataka oko 86.000 zaposlenih u tom ministarstvu, nad čijim Active Directory podacima su izvršene provere upotrebom više od 1.5 milijardi reči. Za tu namenu upotrebljeni su rečnici različitih jezika, terminologija koja se upotrebljava u ministarstvu, reference iz pop kulture, javno dostupne liste otkrivenih lozinki iz prošlosti, kao i uobičajeni paterni koje korisnici upotrebljavaju (kao što je recimo „qwerty“).

Rezultati su bili poražavajući. Ovim putem otkriveno je 18.174 lozinke (21 procenat) od ukupno 85.944 kriptografska heša koja su testirana. Od toga, 288 lozinki pripadalo je korisnicima koji imaju visoke privilegije u sistemu, dok je 362 korisnika pripadalo senior zaposlenima. Za samo 90 minuta, otkriveno je čak 16 procenata korisničkih lozinki. Audit je otkrio još jednu veliku bezbednosnu slabost – nedostatak multi-faktorske autentifikacije na sistemima od kritične važnosti.

Najčešće korišćene lozinke zaposlenih bile su:

  • Password-1234 (478 zaposlenih)
  • Br0nc0$2012 (389 zaposlenih)
  • Password123$ (318 zaposlenih)
  • Password1234 (274 zaposlenih)
  • Summ3rSun2020! (191 zaposleni)
  • 0rlando_0000 (160 zaposlenih)
  • Password1234! (150 zaposlenih)
  • ChangeIt123 (140 zaposlenih)
  • 1234password$ (138 zaposlenih)
  • ChangeItN0w! (130 zaposlenih)

Interesantno je da oprema koja je upotrebljavana za razbijanje lozinki koštala manje od 15.000 dolara. Takođe, pokazalo se i da je 99.99 procenata razbijenih lozinki bilo u skladu sa zahtevima za njihovu kompleksnost – da moraju da budu duže od 12 karaktera i da imaju najmanje tri od četiri vrste karaktera (mala i velika slova, brojke i specijalni karakteri). To ukazuje da za sigurnu zaštitu nije dovoljno samo da se ispuni zahtevana forma, već da prilikom osmišljavanja lozinki treba upotrebljavati nasumične nizove karaktera, a ne uobičajene reči ili fraze, koje lako mogu da se otkriju metodom „grube sile“.

Izvor: ArsTechnica

Facebook komentari:
Računari i Galaksija
Tagovi: , , ,