دفتر بازرس کل وزارت کشور آمریکا یه گزارشی در خصوص وضعیت پسوردهای وزارت کشور منتشر کرده.
این آژانس هش پسورد 85,944 اکانت اکتیودایرکتوری کارمندان وزارتخونه رو جمع آوری کرده. بعدش شروع به کرک این هش ها از طریق 1.5 میلیارد کلمه ، کردن. این کلمات رو از موارد زیر بدست آوردن :
- کلمات موجود در فرهنگ لغت از چندین زبان
- اصطلاحات دولت آمریکا
- کلمات عامیانه
- لیست پسوردهای افشا شده قبلی
- الگوهای رایج صفحه کلید . (مثلا qwer)
بررسی ها نشون میدن که :
- در مجموع 18174 هش ، یعنی 21 درصد ، از 85944 هش ، کرک شد.
- از موارد کرک شده ، 288 موردش دارای امتیاز بالا بودن.
- 362 موردش متعلق به کارمندان ارشد بودن.
- تو این بررسی در عرض 90 دقیقه تونستن 16 درصد از هش ها رو کرک کنن.
علاوه بر ضعف در پسوردها ، تو این بررسی متوجه شدن که از 28 دارایی با ارزش ، 25 موردش یعنی حدود 89 درصد ، از MFA استفاده نمیکنن.
متداولترین پسوردهای استفاده شده ، بهمراه میزان استفاده اونا :
Password-1234 | 478
Br0nc0$2012 | 389
Password123$ | 318
Password1234 | 274
Summ3rSun2020! | 191
0rlando_0000 | 160
Password1234! | 150
ChangeIt123 | 140
1234password$ | 138
ChangeItN0w! | 130
برای شکستن این پسوردها در کل کمتر از 15000 دلار هزینه شده. برای کرک اینا از یه دستگاه با دو ریگ که هر کدوم 8 تا GPU داشته و یه کنسول مدیریتی استفاده کردن.
با استفاده از GPU های نسل دو و سه که هم اکنون تو بازار هستش ، اینا توسنستن با این دستگاه با سرعت 240GHs هش های NTLM با 12 کارکتر و 25.6GHs تونستن 10 گیگ دیکشنری و یه فایل قوانین 3 مگی رو تست کنن. البته سرعت در طول آزمایش متفاوت بوده.
99.99 درصد پسوردهای شکسته شده با الزامات پسورد این سازمان مطاقبت داشته . یعنی حداقل 12 کاراکتر و دارای حروف بزرگ و کوچک و عدد و کاراکتر خاص.
این بررسی این نکته رو نشون میده که این الزامات در برابر حملات بروت فورس جوابگو هستن ، که در اون بازیگران تهدید ، کاراکترها رو دونه به دونه بررسی میکنه. اما الان مهاجمین با استفاده از قدرت پردازشی و پسوردها و کلمات رایج میتونن اونارو راحتتر کرک کنن.
علاوه بر موارد بالا ، عدم تعویض پسورد هر 60 روز هم یکی از موارد امنیتی بوده.
توصیه شده از پسوردهای طولانی ، با کلمات تصادفی استفاده بشه. همچنین برای هر حساب یه پسورد منحصر به فرد استفاده بشه و در صورت امکان از برنامه های مدیریت پسورد خوب استفاده بشه.