政府监管机构对内政部的网络安全态势发表了严厉的谴责,发现它能够破解数以千计的员工用户帐户,因为该部门的安全政策允许使用容易猜到的密码,例如'Password1234' 。
负责监督管理该国联邦土地、国家公园和数十亿美元预算的美国执行机构的内政部监察长办公室的报告称,该部门对密码的依赖是保护其一些最重要系统和员工用户帐户的唯一方法违背了近二十年来政府自己的网络安全指南,即强制执行更强大的双因素身份验证。
它得出的结论是,糟糕的密码政策使该部门面临被破坏的风险,这可能导致其运营“极有可能”发生大规模中断。
监察长办公室表示,在对该机构的网络安全防御进行的先前测试发现内政部十几个机构和局的密码政策和要求松懈后,它展开了调查。这次的目的是确定该部门的安全防御措施是否足以阻止使用被盗和恢复的密码。
密码本身并不总是以可读形式被盗。您在网站和在线服务上创建的密码通常以一种人类无法读取的方式进行加密和存储——通常是一串看似随机的字母和数字——这样被恶意软件或数据泄露窃取的密码就不能轻易地用于进一步的黑客攻击。这称为密码散列,密码的复杂性(以及用于加密它的散列算法的强度)决定了计算机解密它需要多长时间。通常,密码越长或越复杂,恢复所需的时间就越长。
但监管机构的工作人员表示,声称满足该部门最低安全要求的密码需要一百多年才能使用现成的密码破解软件恢复,这造成了一种“错误的安全感”,即其密码是安全的,在很大程度上是因为当今可用的计算能力的商业可用性。
为了证明他们的观点,监管机构花费了不到 15,000 美元来构建一个密码破解装置——一个高性能计算机的设置或几个链接在一起的装置——其计算能力旨在执行复杂的数学任务,比如恢复散列密码。在最初的 90 分钟内,看门狗能够恢复近 14,000 个员工密码,约占所有部门帐户的 16%,包括'Polar_bear65'和'Nationalparks2014!'等密码。 .
监管机构还恢复了数百个属于高级政府雇员的账户和其他具有更高安全权限的账户,可以访问敏感数据和系统。在额外八周的测试中,另外 4,200 个散列密码被破解。
密码破解设备并不是一个新概念,但它们需要相当大的计算能力和能源消耗才能运行,而且仅仅构建一个相对简单的硬件配置就很容易花费数千美元。 (相比之下, White Oak Security早在 2019 年就在硬件上花费了大约 7,000 美元来购买功能相当强大的设备。)
密码破解装置还依赖于大量人类可读的数据来与加扰密码进行比较。使用 Hashcat 等开源和免费软件可以将可读单词和短语列表与散列密码进行比较。例如, 'password'转换为'5f4dcc3b5aa765d61d8327deb882cf99' 。因为这个密码散列是已知的,所以计算机只需不到一微秒的时间来确认它。
根据该报告,内政部向看门狗提供了每个用户帐户的密码哈希值,然后看门狗等待 90 天密码到期——根据该部门自己的密码政策——然后才可以安全地尝试破解它们。
该监管机构表示,它策划了自己的自定义词表,用于从多种语言的词典中破解该部门的密码,以及美国政府术语、流行文化参考资料,以及从过去的数据泄露中收集的其他公开可用的散列密码列表。 (科技公司还收集其他数据泄露事件中的被盗密码列表以与他们自己的客户散列密码集进行比较,作为防止客户重复使用其他网站的相同密码的一种方式并不少见。)因此,该报告称,监管机构证明,资源充足的网络犯罪分子可以以类似的速度破解该部门的密码。
监管机构发现,将近 5% 的活跃用户帐户密码是基于“密码”一词的某种变体,而且该部门没有“及时”关闭不活跃或未使用的用户帐户,导致至少 6,000 个用户帐户易受攻击妥协。
该报告还批评内政部“没有始终如一地”实施或强制执行双因素身份验证,用户需要从他们实际拥有的设备输入代码,以防止攻击者仅使用窃取的密码登录。该报告称,该部门十分之九的高价值资产,例如会严重影响其运营或丢失敏感数据的系统,没有受到某种形式的第二因素安全保护,该部门有结果无视了 18 年的联邦授权,包括其“自己的内部政策”。当监管机构要求提供有关该部门使用双因素身份验证的详细报告时,该部门表示该信息不存在。
“未能优先考虑基本安全控制导致继续使用单因素身份验证,”监管机构总结道。
内政部在回应中表示同意监察长的大部分调查结果,并表示“致力于”执行拜登政府指示联邦机构改善其网络安全防御的行政命令。
阅读更多:
政府监管机构花费 15,000 美元在几分钟内破解了联邦机构的密码Zack Whittaker最初发表于TechCrunch
原文: https://techcrunch.com/2023/01/10/interior-department-watchdog-passwords/