აშშ - უსაფრთხოების აუდიტის ექსპერიმენტით ფედერალური სააგენტოს პაროლების მეხუთედი გატეხეს

აშშ-ს შინაგან საქმეთა დეპარტამენტის ანგარიშების დამცველი პაროლების მეხუთედზე მეტი, მათ შორის Password1234, Password1234! და ChangeItN0w!, არასაკმარისად რთული აღმოჩნდა და სტანდარტული მეთოდების გამოყენებით გატყდა. 

კომენტარის დატოვება
აშშ - უსაფრთხოების აუდიტის ექსპერიმენტით ფედერალური სააგენტოს პაროლების მეხუთედი გატეხეს

აშშ-ს შინაგან საქმეთა დეპარტამენტის ანგარიშების დამცველი პაროლების მეხუთედზე მეტი, მათ შორის Password1234, Password1234! და ChangeItN0w!, არასაკმარისად რთული აღმოჩნდა და სტანდარტული მეთოდების გამოყენებით გატყდა. 

აუდიტი დეპარტამენტის გენერალურმა ინსპექტორმა ჩაატარა, რომელმაც 85 944 თანამშრომლის აქტიური დირექტორიის (AD) ანგარიშებისთვის განკუთვნილი კრიპტოგრაფიული ჰეშები მოიპოვა. ამის შემდეგ, აუდიტორებმა გამოიყენეს 1,5 მილიარდზე მეტი სიტყვის შემცველი სია, რომელიც აერთიანებდა:

  • ლექსიკონებს მრავალი ენიდან;
  • აშშ-ის მთავრობის ტერმინოლოგიას;
  • პოპ კულტურის დეტალებს;
  • საჯაროდ ხელმისაწვდომი პაროლების სიებს, რომლებიც მოიპოვეს წარსული მონაცემების დარღვევის შემთხვევებისას, როგორც საჯარო, ისე კერძო სექტორებიდან;
  • კლავიატურის გავრცელებულ ნიმუშებს, მაგალითად, «qwerty»

შედეგები ნამდვილად არ აღმოჩნდა გამამხნევებელი. მთლიანობაში, აუდიტორებმა გატეხეს 18 174 (21%)  კრიპტოგრაფიული ჰეში 85 944-დან, რომლებიც მათ გამოცადეს. გატესტილი ანგარიშებიდან 288-ს ჰქონდა გაზრდილი პრივილეგიები და 362 მთავრობის მაღალჩინოსნებს ეკუთვნოდათ. ტესტირების პირველ 90 წუთში აუდიტორებმა დეპარტამენტის მომხმარებლების 16%-ის  ჰეშები გატეხეს.

აუდიტმა აღმოაჩინა უსაფრთხოების კიდევ ერთი სისუსტე — მრავალფაქტორიანი ავთენტიფიკაციის (MFS) თანმიმდევრული დანერგვის შეუსრულებლობა. წარუმატებელი შედეგები აჩვენა 28-დან 25-მა მაღალი ღირებულების აქტივებმა (HVAs), რომლებიც, დარღვევის შემთხვევაში, სააგენტოს ოპერაციებზე სერიოზულად იმოქმედებს.

«სავარაუდოა, რომ თუ კარგი რესურსებით აღჭურვილი თავდამსხმელი დაიჭერდა დეპარტამენტის AD პაროლის ჰეშებს, იმავე წარმატებას მიაღწევდა, რასაც ჩვენ ჰეშების გატეხვაში. ჩვენი დასკვნების მნიშვნელობა დეპარტამენტის პაროლის ცუდი მენეჯმენტის შესახებ გაზრდილია, თუ გავითვალისწინებთ ჩვენი წარმატების მაღალ კოეფიციენტს პაროლების ჰეშების გატეხვისას. გაზრდილი პრივილეგიებისა და სახელმწიფო პაროლების დიდი ნაწილი ჩვენ გავტეხეთ იმ ფაქტიდან გამომდინარე, რომ დეპარტამენტის HVA-ების უმეტესობა არ იყენებდა MFA-ს». — ნათქვამია საბოლოო შემოწმების მოხსენებაში. 

ყველაზე ხშირად გამოყენებული პაროლები იყო:

  • Password-1234 | 478
  • Br0nc0$2012 | 389
  • Password123$ | 318
  • Password1234 | 274
  • Summ3rSun2020! | 191
  • 0rlando_0000 | 160
  • Password1234! | 150
  • ChangeIt123 | 140
  • 1234password$ | 138
  • ChangeItN0w! | 130

აუდიტორების მიერ გატეხილი პაროლების აბსოლუტური უმრავლესობა — 99,99% შეესაბამება დეპარტამენტის პაროლების სირთულის მოთხოვნებს, რაც ითვალისწინებს მინიმუმ 12 სიმბოლოს გამოყენებას და 4 ტიპის სიმბოლიკიდან მინიმუმ 3-ის გამოყენებას. ეს მოიცავს დიდ და პატარა ასოებს, ციფრებს და სპეციალურ სიმბოლოებს. აუდიტმა გამოავლინა ის, რასაც Ars  უკვე ათი წელია ამბობს — მსგავს მითითებებს, ფაქტობრივად, აზრი არ აქვს.

ეს გამომდინარეობს იქიდან, რომ თავდამსხმელები უხეში ძალის მეთოდებს გამოიყენებენ, რომლებშიც ყველა შესაძლო კომბინაცია მეთოდურად იცდება ანბანური თანმიმდევრობით. თავდამსხმელებისგან ბევრად უფრო სავარაუდოა ადრე გატეხილი პაროლების სიების გამოყენება, რომლებიც ინტერნეტშია ხელმისაწვდომი. თავდამსხმელები აერთიანებენ სიებს რიგებში, რომლებიც შეუცავს ათობით სუპერ სისწრაფის GPU-ს, რომლებიც ცდიან თითოეულ სიტყვას თითოეულ სტრიქონში პოპულარობის მიხედვით.

«მიუხედავად იმისა, რომ პაროლი, როგორიცაა Password-1234 მოთხოვნებს აკმაყოფილებს, რადგან შეიცავს ყველა საჭირო პუნქტს, მისი გატეხა ძალიან ადვილია», — ნათქვამია საბოლოო მოხსენებაში, — «მეორე ყველაზე ხშირად გამოყენებული პაროლი Br0nc0$2012 იყო. მიუხედავად იმისა, რომ ეს „უფრო ძლიერ“ პაროლს ჰგავს, ის პრაქტიკაში ძალიან სუსტია, რადგან დაფუძნებულია ერთი ლექსიკონის სიტყვაზე საერთო სიმბოლოების ჩანაცვლებით.»

მოხსენებაში აღნიშნულია, რომ NIST SP 800-63 ციფრული იდენტობის სახელმძღვანელო რეკომენდაციას უწევს ფრაზებს, რომლებიც შედგება მრავალი ურთიერთდაკავშირებული სიტყვისგან, რადგან მათი გატეხა კომპიუტერისთვის უფრო რთულია. Ars დიდი ხანია ურჩევს მომხმარებლებს პაროლების მენეჯერის გამოყენებას შემთხვევითი ფრაზების შესაქმნელად და შესანახად.

სამწუხაროდ, დეპარტამენტის გენერალურ ინსპექტორსაც ვერ დავეყრდნობით საიმედო პაროლის რჩევისთვის. აუდიტორებმა დაადანაშაულეს დეპარტამენტი, რომ არ ცვლიდნენ პაროლებს ყოველ 60 დღეში ერთხელ, რისი საჭიროებაც იდგა. მიუხედავად ამისა, უკეთესი რჩევაა, რომ გამოიყენოთ ძლიერი, შემთხვევითობის პრინციპით გენერირებული პაროლი, რომელიც უნიკალურია ყველა ანგარიშისთვის და შეცვალოთ ის მხოლოდ მაშინ, როდესაც არსებობს საფუძველი იმის დასაჯერებლად, რომ მას საფრთხე ემუქრება.

ყველაფერი რაც პაროლებზე უნდა ვიცოდეთ 
ყველაფერი, რაც პაროლებზე უნდა ვიცოდეთ 
თემის მიხედვით
ყველაფერი, რაც პაროლებზე უნდა ვიცოდეთ 


ასევე წაიკითხეთ
ტექნოლოგიური ომი: ბაიდენი ცდილობს, ამერიკული პროდუქტების Huawei-სთვის მიყიდვა აკრძალოს
ტექნოლოგიური ომი: ბაიდენი ცდილობს, ამერიკული პროდუქტების Huawei-სთვის მიყიდვა აკრძალოს
ტექნოლოგიური ომი: ბაიდენი ცდილობს, ამერიკული პროდუქტების Huawei-სთვის მიყიდვა აკრძალოს
სანქციების მიუხედავად, ჩინეთის ბირთვული იარაღის ლაბორატორიამ ამერიკული ჩიპები გამოიყენა
სანქციების მიუხედავად, ჩინეთის ბირთვული იარაღის ლაბორატორიამ ამერიკული ჩიპები გამოიყენა
სანქციების მიუხედავად, ჩინეთის ბირთვული იარაღის ლაბორატორიამ ამერიკული ჩიპები გამოიყენა
აშშ Google-ს სარეკლამო კონკურენტების „განდევნაში“ ადანაშუალებს
აშშ Google-ს სარეკლამო კონკურენტების „განდევნაში“ ადანაშუალებს
აშშ Google-ს სარეკლამო კონკურენტების „განდევნაში“ ადანაშუალებს
როგორ დავიცვათ ციფრული უსაფრთხოება - სრული გზამკვლევი ნინო გამისონიასგან
როგორ დავიცვათ ციფრული უსაფრთხოება - სრული გზამკვლევი ნინო გამისონიასგან
როგორ დავიცვათ ციფრული უსაფრთხოება - სრული გზამკვლევი ნინო გამისონიასგან
ციფრული უსაფრთხოების სპეციალისტი, ნინო გამისონია dev.ge-ს მკითხველებს წარმოგიდგენთ დეტალურ გზამკვლევს ციფრული უსაფრთხოების დაცვისთვის. 
განხილვა
კომენტარები ჯერ არაა.