خُمس كلمات المرور التي تستخدمها الوكالة الفيدرالية متصدعة في تدقيق الأمن

أكثر من خُمس كلمات المرور التي تحمي حسابات الشبكة في وزارة الداخلية الأمريكية – بما في ذلك Password1234 و Password1234! و ChangeItN0w! – كانت ضعيفة بما يكفي لاختراقها باستخدام الأساليب القياسية ، وفقًا لمراجعة أمنية نُشرت مؤخرًا للوكالة.

تم إجراء التدقيق من قبل المفتش العام للإدارة ، والذي حصل على تجزئات تشفير لـ 85944 حسابًا في الدليل النشط للموظف (AD). ثم استخدم المدققون قائمة بأكثر من 1.5 مليار كلمة تضمنت:

• قواميس من لغات متعددة
• مصطلحات الحكومة الأمريكية
• مراجع ثقافة البوب
• قوائم كلمات المرور المتاحة للجمهور والتي تم جمعها من خروقات البيانات السابقة عبر القطاعين العام والخاص
• أنماط لوحة المفاتيح الشائعة (على سبيل المثال ، “qwerty”).

النتائج لم تكن مشجعة. إجمالاً ، قام المدققون بتكسير 18174 – أو 21 بالمائة – من 85944 تجزئة تشفير قاموا باختبارها. 288 حسابا من الحسابات المتضررة امتيازات مرتفعة ، و 362 منها تخص موظفين حكوميين كبار. خلال أول 90 دقيقة من الاختبار ، قام المدققون بكسر التجزئة لـ 16 بالمائة من حسابات مستخدمي القسم.

كشفت المراجعة عن ضعف أمني آخر – الفشل في تنفيذ المصادقة متعددة العوامل (MFA) باستمرار. امتد الإخفاق إلى 25 – أو 89 بالمائة – من 28 أصلًا عالي القيمة (HVAs) ، والتي عند انتهاكها ، من المحتمل أن تؤثر بشدة على عمليات الوكالة.

ذكر تقرير الفحص النهائي “من المحتمل أنه إذا قام مهاجم ذو موارد جيدة بالتقاط تجزئات كلمة مرور إدارة AD ، فسيكون المهاجم قد حقق معدل نجاح مشابه لمعدل نجاحنا في تكسير التجزئة”. “تتضخم أهمية النتائج التي توصلنا إليها فيما يتعلق بإدارة كلمات المرور السيئة للإدارة نظرًا لارتفاع معدل نجاحنا في اختراق تجزئة كلمات المرور ، والعدد الكبير من الامتيازات المرتفعة وكلمات مرور كبار الموظفين الحكوميين التي اخترقناها ، وحقيقة أن معظم HVAs للإدارة لم تستخدم MFAs . “

كانت كلمات المرور الأكثر استخدامًا ، متبوعة بعدد المستخدمين ، هي:

• كلمة المرور -1234 | 478
• Br0nc0 $ 2012 | 389
• كلمة المرور 123 $ | 318
• كلمة المرور 1234 | 274
• Summ3rSun2020! | 191
• 0rlando_0000 | 160
• كلمة المرور 1234! | 150
• ChangeIt123 | 140
• 1234 دولار كلمة السر | 138
• التغيير | 130

أبلغت TechCrunch عن نتائج التدقيق في وقت سابق. وقال المنشور إن المدققين أنفقوا أقل من 15000 دولار لبناء جهاز لاختراق كلمات المرور. نقلا عن ممثل الدائرة ، تابع:

يتكون الإعداد الذي نستخدمه من جهازين مع 8 GPU لكل منهما (إجمالي 16) ، ووحدة تحكم إدارية. تعمل الحفارات نفسها على تشغيل عدة حاويات مفتوحة المصدر حيث يمكننا إحضار 2 أو 4 أو 8 GPU وتعيين مهام لهم من وحدة تحكم توزيع العمل مفتوحة المصدر. باستخدام GPU 2 و 3 أجيال خلف المنتجات المتاحة حاليًا ، حققنا معايير NTLM للعمل الميداني المسبق مجتمعة من 240 جيجا هرتز لاختبار NTLM عبر 12 قناع حرفًا ، و 25.6 جيجا هرتز عبر قاموس 10 جيجا بايت وملف قواعد 3 ميجا بايت. تباينت السرعات الفعلية عبر تكوينات اختبار متعددة أثناء الاشتباك.

امتثلت الغالبية العظمى – 99.99 بالمائة – من كلمات المرور التي تم اختراقها بواسطة المدققين لمتطلبات تعقيد كلمة المرور الخاصة بالقسم ، والتي تتطلب ما لا يقل عن 12 حرفًا ، وتحتوي على ثلاثة على الأقل من أربعة أنواع من الأحرف تتكون من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة. كشفت المراجعة عما قاله آرس منذ ما يقرب من عقد من الزمان – مثل هذه الإرشادات عادة ما تكون بلا معنى.

هذا لأن الأدلة تفترض أن المهاجمين سيستخدمون أساليب القوة الغاشمة ، حيث يتم تجربة كل مجموعة ممكنة بطريقة منهجية بترتيب أبجدي رقمي. من الشائع جدًا أن يستخدم المهاجمون قوائم كلمات المرور التي تم اختراقها مسبقًا ، والمتوفرة على الإنترنت. يقوم المهاجمون بعد ذلك بتوصيل القوائم في منصات تحتوي على العشرات من وحدات معالجة الرسومات فائقة السرعة التي تجرب كل كلمة بترتيب شعبية كل سلسلة.

على الرغم من وجود كلمة مرور [such as Password-1234] يفي بالمتطلبات لأنه يتضمن أحرفًا كبيرة وصغيرة وأرقامًا وحرفًا خاصًا ، ومن السهل جدًا كسرها “، كما أشار التقرير النهائي. كانت كلمة المرور الثانية الأكثر استخدامًا هي Br0nc0 $ 2012. على الرغم من أن هذه الكلمة قد تبدو “أقوى” ، إلا أنها ، عمليًا ، ضعيفة جدًا لأنها تستند إلى كلمة قاموس واحدة مع استبدال الأحرف الشائعة.

أشار التقرير إلى أن إرشادات الهوية الرقمية NIST SP 800-63 توصي بعبارات مرور طويلة مكونة من عدة كلمات غير ذات صلة لأن اختراقها أصعب على الكمبيوتر. أوصى Ars منذ فترة طويلة باستخدام مدير كلمات المرور لإنشاء عبارات مرور عشوائية وتخزينها.

للأسف ، حتى المفتش العام للإدارة لا يمكن الاعتماد عليه للحصول على مشورة موثوقة تمامًا بشأن كلمة المرور. عيب المدققون الإدارة لفشلها في تغيير كلمات المرور كل 60 يومًا كما هو مطلوب. تستمر الكثير من سياسات الحكومة والشركات في فرض مثل هذه التغييرات ، على الرغم من أن معظم خبراء أمان كلمة المرور قد خلصوا إلى أنها تشجع اختيارات كلمات المرور الضعيفة. أفضل نصيحة هي استخدام كلمة مرور قوية تم إنشاؤها عشوائيًا وتكون فريدة لكل حساب وتغييرها فقط عندما يكون هناك سبب للاعتقاد بأنه ربما تم اختراقها.