P@s$w0rds at the U.S. Department of the Interior: Easily Crack | OnHex
P@s$w0rds at the U.S. Department of the Interior: Easily Cracked Passwords, Lack of Multifactor Authentication, and Other Failures Put Critical DOI Systems at Risk
دفتر بازرس کل وزارت کشور آمریکا یه گزارشی در خصوص وضعیت پسوردهای وزارت کشور منتشر کرده.
این آژانس هش پسورد 85,944 اکانت اکتیودایرکتوری کارمندان وزارتخونه رو جمع آوری کرده. بعدش شروع به کرک این هش ها از طریق 1.5 میلیارد کلمه ، کردن.
این کلمات رو از موارد زیر بدست آوردن : - کلمات موجود در فرهنگ لغت از چندین زبان - اصطلاحات دولت آمریکا - کلمات عامیانه - لیست پسوردهای افشا شده قبلی - الگوهای رایج صفحه کلید . (مثلا qwer)
در مجموع 18174 هش ، یعنی 21 درصد ، از 85944 هش ، کرک شد. از موارد کرک شده ، 288 موردش دارای امتیاز بالا بودن.362 موردش متعلق به کارمندان ارشد بودن. تو این بررسی در عرض 90 دقیقه تونستن 16 درصد از هش ها رو کرک کنن.
تو این بررسی متوجه شدن که از 28 دارایی با ارزش ، 25 موردش یعنی حدود 89 درصد ، از MFA استفاده نمیکنن.
متداولترین پسوردهای استفاده شده ، بهمراه میزان استفاده اونا :
برای شکستن این پسوردها در کل کمتر از 15000 دلار هزینه شده. برای کرک اینا از یه دستگاه با دو ریگ که هر کدوم 8 تا GPU داشته و یه کنسول مدیریتی استفاده کردن.
با استفاده از GPU های نسل دو و سه که هم اکنون تو بازار هستش ، اینا توسنستن با این دستگاه با سرعت 240GHs هش های NTLM با 12 کارکتر و 25.6GHs تونستن 10 گیگ دیکشنری و یه فایل قوانین 3 مگی رو تست کنن. البته سرعت در طول آزمایش متفاوت بوده.
99.99 درصد پسوردهای شکسته شده با الزامات پسورد این سازمان مطاقبت داشته . یعنی حداقل 12 کاراکتر و دارای حروف بزرگ و کوچک و عدد و کاراکتر خاص.
این بررسی این نکته رو نشون میده که این الزامات در برابر حملات بروت فورس جوابگو هستن ، که در اون مهاجم کاراکترها رو دونه به دونه بررسی میکنه. اما الان مهاجمین با استفاده از قدرت پردازشی و پسوردها و کلمات رایج میتونن اونارو راحتتر کرک کنن.
علاوه بر موارد بالا ، عدم تعویض پسورد هر 60 روز هم یکی از موارد امنیتی بوده.
توصیه شده از پسوردهای طولانی ، با کلمات تصادفی استفاده بشه. همچنین برای هر حساب یه پسورد منحصر به فرد استفاده بشه و در صورت امکان از برنامه های مدیریت پسورد خوب استفاده بشه.
