Marko Nešović
Više od petine lozinki koje su štitile naloge u američkom ministarstvu unutrašnjih poslova „probijeno“ je prilikom bezbednosne revizije. Šifre kao što su Password1234, Password1234!, kao i ChangeItN0w! bile su dovoljno slabe i otkrivene su korišćenjem standardnih metoda, prenosi Ars Technica.
Reviziju je izvršio glavni inspektor odeljenja, koji je dobio kriptografske hešove za 85.944 naloga trenutno zaposlenih. Revizori su zatim koristili listu od više od 1,5 milijardi reči koje su uključile i:
- Rečnike sa više jezika,
- Terminologiju američke vlade,
- Reference pop kulture,
- Javno dostupne liste lozinki prikupljene tokom prethodnih hakovanja u javnim i privatnim sektorima,
- Uobičajeni rasporedi slova na tastaturi (kao što je qwerty).
Rezultati nisu bili ohrabrujući – revizori su probili 18.174 (21%) kriptografskih hešova od 85.944, koliko su testirali. Od pogođenih naloga 288 je imalo visoke privilegije, a 362 su pripadala visoko rangiranim državnim službenicima. Već nakon prvih 90 minuta od početka testiranja poznate su bile šifre od 16% naloga.
Slabe lozinke i MFA
Revizija je otkrila da 25 od 28 zaposlenih sa visokim privilegijama nije koristilo MFA, što je visokih 89%, što predstavlja vrlo veliki bezbednosni rizik za rad ministarstva
“Veoma je verovatno da, ukoliko bi napadač sa dobrim resursima uhvatio hešove lozinki odeljenja, imao bi stopu uspeha sličnu ostvarenoj prilikom revizije”, navodi se u konačnom izveštaju o inspekciji. “Značaj ovakvog rezultata revizije u našem slučaju je znatno veći kada se u obzir uzme velika stopa uspešnosti hakovanja, te da je veliki broj naloga sa visokim privilegijama kao i naloga visokih državnih službenika hakovan, kao i činjenica da višefaktorski sistem autentifikacije gotovo uopšte nije korišćen.”
Lozinke koje su najčešće korišćene, kao i broj korisnika koji ih je koristio je:
- Password-1234 | 478,
- Br0nc0$2012 | 389,
- Password123$ | 318,
- Password1234 | 274,
- Summ3rSun2020! | 191,
- 0rlando_0000 | 160,
- Password1234! | 150,
- ChangeIt123 | 140,
- 1234password$ | 138,
- ChangeItN0w! | 130.
Korišćen uređaj imao je do tri generacije star GPU
U nedavnoj izjavi se navodi i kako su revizori potrošili manje od 15.000 dolara na kreiranje mašine za razbijanje lozinki. Uređaj za razbijanje lozinki se sastojao od dva računara, koja su imala po 8 grafičkih karti. Koristeći grafike dve i tri generacije snaga je bila oko 240 GH/s.
Ispoštovana su sva pravila prilikom sastavljanja lozinki
Gotovo 99,99% hakovanih lozinki bile su u skladu sa zahtevima odeljenja o složenosti lozinki, koji nalažu da mora biti minimum 12 karaktera dugačka, i mora sadržati najmanje tri od četiri tipa karaktera koji se sastoje od velikih i malih slova, brojeva i specijalnih znakova. Revizijom je otkriveno da su takve smernice uglavnom besmislene, ako na kraju koristite opšte poznate pojmove za lozinku.
Smernice postoje zato što se pretpostavlja da će napadač metodično isprobati svaku moguću kombinaciju alfanumeričkim redosledom. Mnogo je češći slučaj da napadači koriste liste prethodno hakovanih lozinki koje su dostupne na internetu. Napadači potom učitaju liste u uređaje koji se sastoje od desetine super brzih GPU-a, koji isprobavaju svaku reč po redosledu popularnosti.
“Iako lozinka kao što je Password-1234 ispunjava zahteve, nju je veoma lako hakovati. Druga najčešće korišćena lozinka bila je Br0nc0$2012, koja deluje kao znatno jača ali je u praksi veoma slaba jer se zasniva na jednoj rečju sa uobičajenom zamenom znakova”, navodi se u konačnom izveštaju. Predlog je da se koriste dugačke fraze sastavljene od više nepovezanih reči, i naravno MFA.
