Eine Prüfung von Benutzerkonten durch das US-Innenministerium ergab, dass mehr als zwanzig Prozent der Passwörter aufgrund mangelnder Sicherheit geknackt werden konnten.
Es wurden Passwort-Hashes von fast sechsundachtzig Null Active Directory (AD)-Konten erhalten, und über achtzehn Null davon wurden mit ziemlich standardmäßigen Hacking-Methoden gehackt. Die meisten von ihnen brachen in den ersten neunzig Minuten.
Darüber hinaus gehörten fast XNUMX der gehackten Konten leitenden Angestellten und knapp XNUMX hatten erhöhte Privilegien.
leichte Rätsel
Um die Hashes zu knacken, verwendeten die Prüfer zwei Geräte, die weniger als 15,000 € kosteten und aus insgesamt 16 GPUs bestanden, von denen einige einige Generationen zurückreichten, und arbeiteten an einer Liste mit mehr als einer Milliarde Wörtern, die wahrscheinlich in der verwendet werden Passwörter der Konten.
Zu diesen Wörtern gehörten einfache Tastenanschläge wie „qwerty“, Terminologie im Zusammenhang mit der US-Regierung und Verweise auf die Populärkultur. Es wurden auch Passwörter verwendet, die aus öffentlich zugänglichen Listen von Datenschutzverletzungen öffentlicher und privater Organisationen stammen.
Zu den beliebtesten Passwörtern gehörte „Passwort-1234“, das von fast 500 Konten verwendet wurde, und subtile Variationen wie „Passwort1234“, „Passwort123€“, „Passwort1234!“ wurden auch von Hunderten anderer Konten verwendet.
Ein weiteres Problem, das bei der Prüfung aufgedeckt wurde, war das Fehlen einer Multi-Faktor-Authentifizierung (MFA) zur Verbesserung der Kontosicherheit. Fast 90 % der High Value Assets (HVAs), die für den Agenturbetrieb von entscheidender Bedeutung sind, haben diese Funktion nicht implementiert.
Im Post-Audit-Bericht heißt es, dass ein Angreifer, wenn er Zugriff auf die Passwort-Hashes der Dienste erhalten würde, eine ähnliche Erfolgsquote hätte wie die Prüfer.
Zusätzlich zur Erfolgsquote wurden in dem Bericht weitere Bereiche hervorgehoben, die Anlass zur Sorge gaben: „die große Anzahl hochrangiger Beamter und Passwörter mit hohen Berechtigungen, die wir gehackt haben, und die Tatsache, dass die meisten Abteilungen und HVAs kein MFA verwenden.“ .
Ein weiteres Problem ist, dass praktisch alle Passwörter die Anforderungen des Ministeriums für sichere Passwörter erfüllten: mindestens 12 Zeichen mit einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Wie das Audit jedoch zeigt, führt die Erfüllung dieser Anforderungen nicht zwangsläufig zu schwer zu knackenden Passwörtern. Hacker arbeiten normalerweise mit Listen von Passwörtern, die von Menschen häufig verwendet werden, sodass sie nicht jedes Wort brutal erzwingen müssen, um zu versuchen, sie zu knacken.
Der Bericht selbst nannte als Beispiel das zweithäufigste Passwort, das sie bei der Prüfung gefunden hatten, „Br0nc0 euros2012“:
„Obwohl dies wie ein ‚sichereres‘ Passwort erscheinen mag, ist es in der Praxis sehr schwach, da es auf einem einzelnen Wort aus dem Wörterbuch mit üblichen Zeichenersetzungen basiert.“
Der Generalinspektor sagte auch, dass die Passwörter nicht alle 60 Tage geändert würden, wie es für seine Mitarbeiter vorgeschrieben sei. Sicherheitsexperten empfehlen diese Art von Ratschlägen jedoch derzeit nicht, da sie Benutzer nur dazu ermutigen, schwächere Passwörter zu generieren, damit sie sich leichter merken können.
NIST SP 800–63 Digital Identity Guidelines (wird in einem neuen Tab geöffnet) empfiehlt die Verwendung einer Reihe zufälliger Wörter in Ihren Passwörtern, da diese für Computer viel schwieriger zu knacken sind.
Außerdem ist es mit dem Aufkommen von Passwortmanagern und ihren integrierten Passwortgeneratoren (es gibt auch Standalone-Versionen) jetzt einfacher denn je, superstarke zufällige Passwörter zu erstellen, die Sie daran hindern, sich selbst an sie zu erinnern.