В ходе аудита удалось подобрать 21% паролей сотрудников МВД США
Автор
Сообщение
news_bot ®
Стаж: 7 лет 2 месяца
Сообщений: 27286
Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 - с высокопоставленным госслужащими.
Примечательно, что 99.99% определённых паролей соответствовали правилам выбора сложного пароля, требующим использования в пароле не менее чем 12 символов, а также наличия символов в разных регистрах, цифр и спецсимволов. Подобные требования не помогли избежать указания тривиально подбираемых паролей, например, пароль "Password-1234" использовался 478 сотрудниками, Password123$ - 318, Password1234 - 274, Password1234! - 150, 1234password$ - 138. Более того, пароль у 4.75% активных пользователей основывался на манипуляции со словом "password". Другие популярные пароли: Br0nc0$2012 - 389, Summ3rSun2020! - 191,
0rlando_0000 - 160, ChangeIt123 - 140 и ChangeItN0w! - 130.
Для подбора паролей по хэшам использовалась система с 16 GPU, которая в первые 90 минут смогла подобрать пароли 16% сотрудников (на подбор оставшихся 5% ушло 8 недель).
Проверка осуществлялась при помощи коллекции в 1.5 млрд слов, в которую были включены словари для различны языков, словарь специфичных для министерства терминов, типовые последовательности вида "qwerty" и публично доступные списки паролей, полученных в результате утечек и взломов. При переборе учитывались типовые замены букв на цифры и спецсимволы. В качестве методов для усложнения подбора рекомендовано использовать длинные пароли из нескольких слов или автоматически генерировать менеджерами паролей случайные последовательности символов.
Другой выявленной в ходе аудита проблемой стало низкое распространение многофакторной аутентификации, которая применялась лишь в 11% значимых ресурсов (3 из 28), компрометация которых могла нанести серьёзный ущерб организации.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://arstechnica.com/inform...)
- OpenNews: Анализ миллиарда учётных записей, полученных в результате различных утечек баз пользователей
- OpenNews: Эксперимент с определением паролей пользователей 70% Wi-Fi сетей Тель-Aвива
- OpenNews: 15% пользователей потребительских интернет-устройств не меняют пароль по умолчанию
- OpenNews: Анализ активности атакующих, связанной с подбором паролей по SSH
- OpenNews: Подбор хэшей паролей основателей Unix
Похожие новости:
- Уязвимость в коммутаторах Cisco Catalyst PON, позволяющая войти через telnet без знания пароля
- Релиз Vaultwarden 1.23, альтернативного сервера для менеджера паролей Bitwarden
- Эксперимент с определением паролей пользователей 70% Wi-Fi сетей Тель-Aвива
- GitHub запрещает парольную аутентификацию при доступе к Git
- Анонсировано открытие исходных текстов программы для аудита паролей L0phtCrack
- [Информационная безопасность, Софт, IT-компании] Эксперты рассказали, как в 2019 году нашли уязвимость генерации паролей в Kaspersky Password Manager
- Arch Linux прекращает поддержку MD5 и SHA1 для новых паролей
- Открыт код сервиса проверки паролей HaveIBeenPwned
- В менеджере паролей 1Password реализована полноценная поддержка Linux
- [] How to Password Protect an MS Word, Excel or PowerPoint file: manual for dummies?
Теги для поиска: #_password
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 21:22
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 2 месяца |
|
|
Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 - с высокопоставленным госслужащими. Примечательно, что 99.99% определённых паролей соответствовали правилам выбора сложного пароля, требующим использования в пароле не менее чем 12 символов, а также наличия символов в разных регистрах, цифр и спецсимволов. Подобные требования не помогли избежать указания тривиально подбираемых паролей, например, пароль "Password-1234" использовался 478 сотрудниками, Password123$ - 318, Password1234 - 274, Password1234! - 150, 1234password$ - 138. Более того, пароль у 4.75% активных пользователей основывался на манипуляции со словом "password". Другие популярные пароли: Br0nc0$2012 - 389, Summ3rSun2020! - 191, 0rlando_0000 - 160, ChangeIt123 - 140 и ChangeItN0w! - 130. Для подбора паролей по хэшам использовалась система с 16 GPU, которая в первые 90 минут смогла подобрать пароли 16% сотрудников (на подбор оставшихся 5% ушло 8 недель). Проверка осуществлялась при помощи коллекции в 1.5 млрд слов, в которую были включены словари для различны языков, словарь специфичных для министерства терминов, типовые последовательности вида "qwerty" и публично доступные списки паролей, полученных в результате утечек и взломов. При переборе учитывались типовые замены букв на цифры и спецсимволы. В качестве методов для усложнения подбора рекомендовано использовать длинные пароли из нескольких слов или автоматически генерировать менеджерами паролей случайные последовательности символов. Другой выявленной в ходе аудита проблемой стало низкое распространение многофакторной аутентификации, которая применялась лишь в 11% значимых ресурсов (3 из 28), компрометация которых могла нанести серьёзный ущерб организации. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 27-Апр 21:22
Часовой пояс: UTC + 5