Um quinto das senhas usadas por agência federal é quebrada em auditoria de segurança

Um quinto das senhas usadas por agência federal é quebrada em auditoria de segurança

Getty Images

Mais de um quinto das senhas que protegem contas de rede no Departamento do Interior dos Estados Unidos – incluindo Password1234, Password1234! e ChangeItN0w!

A auditoria foi realizada pelo Inspetor Geral do departamento, que obteve hashes criptográficos para 85.944 contas de diretório ativo (AD) de funcionários. Os auditores então usaram uma lista de mais de 1,5 bilhão de palavras que incluía:

  • Dicionários de vários idiomas
  • terminologia do governo dos EUA
  • Referências da cultura pop
  • Listas de senhas disponíveis publicamente coletadas de violações de dados anteriores nos setores público e privado
  • Padrões de teclado comuns (por exemplo, “qwerty”).

Os resultados não foram animadores. Ao todo, os auditores quebraram 18.174 – ou 21 por cento – dos 85.944 hashes criptográficos que testaram; 288 das contas afetadas tinham privilégios elevados e 362 delas pertenciam a altos funcionários do governo. Nos primeiros 90 minutos de teste, os auditores quebraram os hashes de 16% das contas de usuário do departamento.

A auditoria descobriu outra falha de segurança: a falha na implementação consistente da autenticação multifator (MFA). A falha estendeu-se a 25 – ou 89 por cento – de 28 ativos de alto valor (HVAs), que, quando violados, têm o potencial de impactar severamente as operações da agência.

“É provável que, se um invasor com bons recursos capturasse hashes de senha do Departamento AD, o invasor teria alcançado uma taxa de sucesso semelhante à nossa em quebrar os hashes”, disse o relatório de inspeção final afirmou. “A importância de nossas descobertas sobre o gerenciamento inadequado de senhas do Departamento é ampliada devido à nossa alta taxa de sucesso na quebra de hashes de senha, ao grande número de privilégios elevados e senhas de funcionários do governo sênior que quebramos e ao fato de que a maioria dos HVAs do Departamento não empregava MFA .”

As senhas mais utilizadas, seguidas do número de usuários, foram:

  • Senha-1234 | 478
  • Br0nc0$2012 | 389
  • Senha123$ | 318
  • Senha1234 | 274
  • Summ3rSun2020! | 191
  • 0rlando_0000 | 160
  • Senha1234! | 150
  • ChangeIt123 | 140
  • 1234senha$ | 138
  • ChangeItN0w! | 130

TechCrunch relatado os resultados da auditoria anteriormente. A publicação disse que os auditores gastaram menos de US$ 15.000 construindo um equipamento de quebra de senha. Citando um representante do departamento, continuou:

A configuração que usamos consiste em duas plataformas com 8 GPUs cada (16 no total) e um console de gerenciamento. As próprias plataformas executam vários contêineres de código aberto onde podemos trazer 2, 4 ou 8 GPUs e atribuir tarefas a eles no console de distribuição de trabalho de código aberto. Usando GPU 2 e 3 gerações atrás dos produtos atualmente disponíveis, alcançamos benchmarks combinados de NTLM pré-trabalho de campo de 240GHs testando NTLM por meio de máscaras de 12 caracteres e 25,6GHs por meio de dicionário de 10 GB e um arquivo de regras de 3 MB. As velocidades reais variaram em várias configurações de teste durante o engajamento.

A grande maioria – 99,99 por cento – das senhas quebradas pelos auditores atendeu aos requisitos de complexidade de senha do departamento, que exige um mínimo de 12 caracteres e contém pelo menos três dos quatro tipos de caracteres consistindo em maiúsculas, minúsculas, dígitos e caracteres especiais. A auditoria revelou o que Ars tem sido dizendo por quase uma década agora – essas diretrizes geralmente não têm sentido.

Isso ocorre porque os guias assumem que os invasores usarão métodos de força bruta, nos quais todas as combinações possíveis são metodicamente tentadas em ordem alfanumérica. É muito mais comum que os invasores usem listas de senhas previamente quebradas, que estão disponíveis na Internet. Os invasores então conectam as listas em plataformas que contêm dezenas de GPUs super-rápidas que tentam cada palavra na ordem de popularidade de cada string.

“Mesmo que uma senha [such as Password-1234] atende aos requisitos porque inclui letras maiúsculas, minúsculas, dígitos e um caractere especial, é extremamente fácil de decifrar”, observou o relatório final. “A segunda senha mais usada foi Br0nc0$2012. Embora possa parecer uma senha ‘mais forte’, na prática ela é muito fraca porque é baseada em uma única palavra do dicionário com substituições de caracteres comuns.”

O relatório observou que NIST SP 800–63 Diretrizes de identidade digital recomende frases secretas longas compostas de várias palavras não relacionadas porque são mais difíceis de decifrar por um computador. Ars há muito recomenda o uso de um gerenciador de senhas para criar senhas aleatórias e armazená-las.

Infelizmente, nem mesmo o inspetor-geral do departamento pode ser confiável para fornecer conselhos de senha totalmente confiáveis. Os auditores culparam o departamento por não alterar as senhas a cada 60 dias, conforme exigido. Muitas políticas governamentais e corporativas continuam a exigir tais mudanças, embora a maioria dos especialistas em segurança de senhas tenha concluído que elas simplesmente encorajar escolhas de senhas fracas. O melhor conselho é usar uma senha forte, gerada aleatoriamente, única para cada conta e alterá-la somente quando houver motivos para acreditar que ela pode ter sido comprometida.

Leave a Reply

Your email address will not be published. Required fields are marked *