Είναι ανησυχητικό το πώς ακόμη και οι πιο σημαντικοί ομοσπονδιακοί οργανισμοί των ΗΠΑ αποτυγχάνουν να δημιουργήσουν αποτελεσματικούς κωδικούς πρόσβασης (password). Εκπληκτικό είναι το γεγονός ότι ακόμη και η κυβέρνηση των ΗΠΑ χρησιμοποιεί τον κωδικό πρόσβασης “Password1234”.
Ένας εντυπωσιακός έλεγχος του Υπουργείου Εσωτερικών των ΗΠΑ αποκάλυψε ότι περισσότεροι από το ένα πέμπτο των λογαριασμών χρηστών είχαν αδύναμους κωδικούς πρόσβασης, καθιστώντας τους ευάλωτους σε χάκερ.
Δείτε επίσης: Ψεύτικα sites AnyDesk μολύνουν τα θύματα με το Vidar malware
Λήφθηκαν τα password hashes για σχεδόν 86,000 active directory (AD) accounts και περισσότερα από 18.000 από αυτά σπάστηκαν χρησιμοποιώντας αρκετά τυπικές μεθόδους hacking. Τα περισσότερα ήταν cracked μέσα στα πρώτα 90 λεπτά.
Επιπλέον, σχεδόν 300 από τους χακαρισμένους λογαριασμούς ανήκαν σε στελέχη, ενώ σχεδόν ο ίδιος αριθμός είχε αυξημένα προνόμια.
Οι auditors κατάφεραν να σπάσουν τα hashes με δύο συσκευές που κόστισαν συνολικά λιγότερο από 15.000 δολάρια. Αυτές οι συσκευές περιλάμβαναν συνολικά 16 GPU – ορισμένα παλαιότερα μοντέλα – και έτρεξαν μια εκτεταμένη λίστα που περιείχε πάνω από ένα δισεκατομμύριο λέξεις που θα μπορούσαν να χρησιμοποιηθούν στους κωδικούς πρόσβασης για τους εν λόγω λογαριασμούς.
Δείτε επίσης: Ανακαλύφθηκε η νέα ομάδα hacking Dark Pink: Ποιους στοχεύει;
Προκειμένου να μαντέψουν τους κωδικούς πρόσβασης, οι χάκερ χρησιμοποίησαν λέξεις όπως “qwerty”, φράσεις που σχετίζονται με την κυβέρνηση των ΗΠΑ και αναφορές από τη λαϊκή κουλτούρα. Επιπλέον, χρησιμοποίησαν πληροφορίες που απέκτησαν από δημόσια προσβάσιμες λίστες παραβιάσεων δεδομένων ιδιωτικών και δημόσιων οργανισμών.
Μεταξύ των πιο συνηθισμένων κωδικών πρόσβασης που χρησιμοποιήθηκαν, ο κωδικός “Password-1234” επιλέχθηκε από σχεδόν 500 λογαριασμούς. Ακόμη και μικρές τροποποιήσεις όπως “Password1234”, “Password123$” και “Password1234!” χρησιμοποιήθηκαν από εκατοντάδες άλλους λογαριασμούς.
Ο έλεγχος αποκάλυψε μια επικίνδυνη ανεπάρκεια στον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για την προστασία των λογαριασμών του οργανισμού – σχεδόν το 90% των high-value assets (HVAs) παρέμειναν απροστάτευτα. Αυτή η έλλειψη ασφάλειας για τα HVAs, τα οποία είναι αναπόσπαστο μέρος των λειτουργιών του οργανισμού, είναι απαράδεκτη και πρέπει να αντιμετωπιστεί άμεσα.
Η έκθεση ελέγχου ανέφερε ότι εάν ένας κακόβουλος φορέας αποκτήσει πρόσβαση στα password hashes του τμήματος, θα είναι σε θέση να επιτύχει παρόμοια αποτελέσματα με αυτά που πέτυχαν οι ελεγκτές.
Ένα ακόμη ζήτημα είναι ότι όλοι οι κωδικοί πρόσβασης τηρούσαν τις αυστηρές κατευθυντήριες γραμμές που έχει θέσει το τμήμα – τουλάχιστον 12 χαρακτήρες που περιλαμβάνουν κεφαλαία γράμματα, αριθμούς και ειδικούς χαρακτήρες.
Ο έλεγχος, ωστόσο, δείχνει ότι η συμμόρφωση με αυτά τα πρότυπα δεν οδηγεί πάντα σε ασφαλείς κωδικούς πρόσβασης. Σε γενικές γραμμές, οι χάκερ χρησιμοποιούν λίστες με λέξεις που χρησιμοποιούν συνήθως οι άνθρωποι και δεν χρειάζεται να επιβάλλουν την κάθε μία ξεχωριστά προκειμένου να τους σπάσουν. Αυτό τους διευκολύνει πολύ, καθώς δεν θα χρειαστεί να ξοδέψουν χρόνο για να σπάσουν δύσκολους κωδικούς πρόσβασης.
Δείτε επίσης: Επίθεση trojan Puzzle εκπαιδεύει τους βοηθούς AI στο να προτείνουν κακόβουλο κώδικα
Ο έλεγχος διαπίστωσε ότι ο δεύτερος πιο συχνά χρησιμοποιούμενος κωδικός πρόσβασης ήταν το “Br0nc0$2012”, όπως αναφέρεται στην έκθεση.
Αυτός ο κωδικός πρόσβασης μπορεί να φαίνεται “ισχυρότερος”, αλλά στην πραγματικότητα είναι απίστευτα αδύναμος, καθώς βασίζεται σε έναν μόνο όρο από το λεξικό με προφανείς αντικαταστάσεις χαρακτήρων.
Ο Γενικός Επιθεωρητής δήλωσε επίσης ότι οι κωδικοί πρόσβασης δεν άλλαζαν κάθε 60 ημέρες, όπως απαιτείται.
Η δημιουργία ισχυρών κωδικών πρόσβασης είναι απαραίτητη για τη διατήρηση των διαδικτυακών σας λογαριασμών ασφαλών από χάκερ και εγκληματίες του κυβερνοχώρου.
Πηγή πληροφοριών: techradar.com
.){kind=link}