放大(图片来源:Getty Images)
美国内政部最近发布的一项安全审计发现,超过五分之一的美国内政部保护网络帐户的密码(包括 Password1234、Password1234! 和 ChangeItN0w!)强度很低,可以使用标准方法破解。
审计由该部门的监察长执行,该监察长获得了 85,944 个员工活动目录 (AD) 帐户的加密哈希值。审计员随后使用了超过 15 亿个单词的列表,其中包括:
- 来自多种语言的词典
- 美国政府术语
- 流行文化参考
- 从过去公共和私营部门的数据泄露中收集的公开密码列表
- 常见的键盘模式(例如,“qwerty”)。
结果并不令人鼓舞。总的来说,审计人员破解了他们测试的 85,944 个加密哈希中的 18,174 个(即 21%);受影响的帐户中有 288 个具有更高的权限,其中 362 个属于高级政府雇员。在前 90 分钟的测试中,审计员破解了该部门 16% 的用户帐户的哈希值。