ABD İçişleri Bakanlığı’ndaki kullanıcı hesaplarında yapılan bir denetim, güvenlik eksikliği nedeniyle şifrelerin %20’sinden fazlasının kırılabileceğini tespit etti.
Yaklaşık 86.000 aktif dizin (AD) hesabı için parola sağlamaları ele geçirildi ve bunların 18.000’den fazlası oldukça standart hackleme yöntemleri kullanılarak kırıldı. Çoğu ilk 90 dakikada kırıldı.
Dahası, kırılan hesapların yaklaşık 300’ü kıdemli çalışanlara aitti ve 300’den biraz azı yükseltilmiş ayrıcalıklara sahipti.
Denetçiler hashleri kırmak için toplamda 16 GPU’dan (bazıları birkaç nesil öncesine ait) oluşan ve maliyeti 15.000 dolardan daha az olan iki teçhizat kullandılar ve muhtemelen hesapların şifrelerinde kullanılacak bir milyardan fazla kelimelik bir liste üzerinde çalıştılar.
Bu tür kelimeler, “qwerty” gibi kolay klavye girişlerini, ABD hükümetiyle ilgili terminolojiyi ve popüler kültüre göndermeleri içeriyordu. Özel ve kamu kuruluşlarına ait veri sızıntılarının halka açık listelerinden elde edilen şifreler de kullanıldı.
En popüler şifreler arasında yaklaşık 500 hesap tarafından kullanılan “Password-1234” vardı ve “Password1234”, “Password123$” “Password1234!” gibi ince varyasyonlar da yüzlerce başka hesap tarafından kullanıldı.
Denetimin ortaya çıkardığı bir başka endişe de, hesap güvenliğini artırmak için çok faktörlü kimlik doğrulamanın (MFA) olmamasıydı. Ajans operasyonları için hayati önem taşıyan yüksek değerli varlıkların (HVA’lar) yaklaşık %90’ı bu özelliği uygulamada başarısız oldu.
Denetimin ardından hazırlanan raporda, bir tehdit aktörünün departmanların parola hash’lerine erişmesi durumunda, denetçiler tarafından elde edilene benzer bir başarı oranına sahip olacağı belirtildi.
Başarı oranlarının yanı sıra, raporda vurgulanan diğer endişe alanları “kırdığımız çok sayıda yükseltilmiş ayrıcalık ve üst düzey devlet çalışanı şifreleri ve Bakanlığın HVA’larının çoğunun MFA kullanmadığı gerçeği” idi.
Diğer bir endişe de, neredeyse tüm parolaların, büyük/küçük harf, rakam ve özel karakterlerin karışımıyla en az 12 karakterden oluşan güçlü parolalar için departman gerekliliklerine uygun olmasıdır.
Ancak denetimin gösterdiği gibi, bu gereksinimlere uyulması şifrelerin kırılması zor olduğu anlamına gelmez. Bilgisayar korsanları genellikle insanların yaygın olarak kullandığı parola listelerinden çalışırlar, bu nedenle parolaları kırmaya çalışmak için her bir kelimeyi kaba kuvvet kullanmak zorunda kalmazlar.
Raporun kendisi, denetimde buldukları en yaygın ikinci parola olan “Br0nc0$2012” örneğini veriyordu:
“Bu, ‘daha güçlü’ bir şifre gibi görünse de, pratikte çok zayıf çünkü ortak karakter değişimlerine sahip tek bir sözlük kelimesini temel alıyor.”
Genel Müfettiş ayrıca, çalışanları için öngörüldüğü gibi şifrelerin 60 günde bir değiştirilmediğini belirtti. Bununla birlikte, bu tür tavsiyeler, kullanıcıları yalnızca daha kolay hatırlamak için daha zayıf parolalar oluşturmaya teşvik ettiğinden, bugün güvenlik uzmanları tarafından önerilmemektedir.
bu NIST SP 800–63 Dijital Kimlik Yönergeleri (yeni sekmede açılır) Bilgisayarlar tarafından kırılması çok daha zor olduğundan, bunun yerine parolalarınızda bir dizi rastgele sözcük kullanmanızı öneririz.
Dahası, parola yöneticilerinin ve bunların entegre parola oluşturucularının (bağımsız sürümleri de vardır) ortaya çıkmasıyla, kendinizin hatırlama zahmetinden kurtaran çok güçlü ve rastgele parolalar oluşturmak artık her zamankinden daha kolay.