Ein Wachhund der Regierung hat eine vernichtende Rüge der Cybersicherheitshaltung des Innenministeriums veröffentlicht und festgestellt, dass es in der Lage war, Tausende von Benutzerkonten von Mitarbeitern zu knacken, weil die Sicherheitsrichtlinien des Ministeriums leicht zu erratende Passwörter wie z 'Password1234'.
Die Prüfbericht vom Büro des Generalinspektors des Innenministeriums, das mit der Aufsicht über die US-Exekutivbehörde beauftragt ist, die das Bundesland, die Nationalparks und ein Budget von Milliarden von Dollar verwaltet, sagte, dass das Vertrauen des Ministeriums auf Passwörter der einzige Weg sei des Schutzes einiger seiner wichtigsten Systeme und Benutzerkonten der Mitarbeiter hat sich fast zwei Jahrzehnte lang gegen die eigene Cybersicherheitsrichtlinie der Regierung gewehrt, die eine stärkere Zwei-Faktor-Authentifizierung vorschreibt.
Sie kommt zu dem Schluss, dass schlechte Passwortrichtlinien die Abteilung dem Risiko eines Verstoßes aussetzen, der zu einer „hohen Wahrscheinlichkeit“ einer massiven Störung ihres Betriebs führen könnte.
Das Büro des Generalinspekteurs sagte, es habe seine Untersuchung nach a eingeleitet vorherige Prüfung der Cybersicherheitsabwehr der Behörde fanden laxe Passwortrichtlinien und -anforderungen in den mehr als einem Dutzend Behörden und Büros des Innenministeriums. Diesmal war das Ziel festzustellen, ob die Sicherheitsvorkehrungen der Abteilung ausreichen, um die Verwendung gestohlener und wiederhergestellter Passwörter zu blockieren.
Passwörter selbst werden nicht immer in ihrer lesbaren Form gestohlen. Die Passwörter, die Sie auf Websites und Online-Diensten erstellen, werden normalerweise verschlüsselt und so gespeichert, dass sie für Menschen unlesbar sind – normalerweise als eine Folge scheinbar zufälliger Buchstaben und Zahlen –, sodass Passwörter, die durch Malware oder eine Datenpanne gestohlen wurden, nicht einfach verwendet werden können weitere Hacks. Dies wird als Passwort-Hashing bezeichnet, und die Komplexität eines Passworts (und die Stärke des Hash-Algorithmus, der zu seiner Verschlüsselung verwendet wird) bestimmt, wie lange ein Computer braucht, um es zu entschlüsseln. Im Allgemeinen gilt: Je länger oder komplexer das Passwort, desto länger dauert die Wiederherstellung.
Aber Watchdog-Mitarbeiter sagten, dass das Verlassen auf Behauptungen, dass Passwörter, die die Mindestsicherheitsanforderungen der Abteilung erfüllen, mehr als hundert Jahre dauern würden, um mit handelsüblicher Passwort-Cracking-Software wiederhergestellt zu werden, ein „falsches Gefühl der Sicherheit“ geschaffen hat, dass seine Passwörter sicher sind zum großen Teil aufgrund der kommerziellen Verfügbarkeit der heute verfügbaren Rechenleistung.
Um ihren Standpunkt zu verdeutlichen, gab der Wachhund weniger als 15.000 US-Dollar für den Bau eines Passwort-Cracking-Rigs aus – ein Setup aus einem Hochleistungscomputer oder mehreren, die miteinander verkettet sind – mit der Rechenleistung, die für komplexe mathematische Aufgaben wie die Wiederherstellung von gehashten Passwörtern ausgelegt ist. Innerhalb der ersten 90 Minuten konnte der Watchdog fast 14.000 Mitarbeiterkennwörter oder etwa 16 % aller Abteilungskonten wiederherstellen, einschließlich Kennwörter wie 'Polar_bear65' und 'Nationalparks2014!'.
Der Watchdog hat auch Hunderte von Konten von hochrangigen Regierungsangestellten und andere Konten mit erhöhten Sicherheitsprivilegien für den Zugriff auf sensible Daten und Systeme wiederhergestellt. Weitere 4.200 gehashte Passwörter wurden in weiteren acht Testwochen geknackt.
Rigs zum Knacken von Passwörtern sind kein neues Konzept, aber sie erfordern eine beträchtliche Rechenleistung und einen beträchtlichen Energieverbrauch, um zu funktionieren, und es kann leicht mehrere tausend Dollar kosten, nur um eine relativ einfache Hardwarekonfiguration aufzubauen. (Zum Vergleich, Sicherheit aus weißer Eiche gab 2019 etwa 7.000 US-Dollar für Hardware für ein einigermaßen leistungsstarkes Rig aus.)
Rigs zum Knacken von Passwörtern stützen sich auch auf riesige Mengen menschenlesbarer Daten zum Vergleich mit verschlüsselten Passwörtern. Mit Open-Source- und frei verfügbarer Software wie Hashcat können Listen lesbarer Wörter und Sätze mit gehashten Passwörtern verglichen werden. Zum Beispiel, 'password' konvertiert zu '5f4dcc3b5aa765d61d8327deb882cf99'. Da dieser Passwort-Hash bereits bekannt ist, benötigt ein Computer weniger als eine Mikrosekunde, um ihn zu bestätigen.
Dem Bericht zufolge hat das Innenministerium die Passwort-Hashes jedes Benutzerkontos an den Watchdog übermittelt, der dann 90 Tage auf das Ablaufen der Passwörter gewartet hat – gemäß der eigenen Passwortrichtlinie des Ministeriums – bevor es sicher war, zu versuchen, sie zu knacken.
Der Watchdog sagte, er habe seine eigene benutzerdefinierte Wortliste zum Knacken der Passwörter der Abteilung aus Wörterbüchern in mehreren Sprachen sowie Terminologie der US-Regierung, Verweise auf die Popkultur und andere öffentlich verfügbare Listen mit gehashten Passwörtern aus früheren Datenverletzungen kuratiert. (Es ist nicht ungewöhnlich, dass Technologieunternehmen auch Listen mit gestohlenen Passwörtern bei anderen Datenschutzverletzungen sammeln, um sie mit den gehashten Passwörtern ihrer eigenen Kunden zu vergleichen, um zu verhindern, dass Kunden dasselbe Passwort von anderen Websites erneut verwenden.) Der Wachhund habe also gezeigt, dass ein gut ausgestatteter Cyberkrimineller die Passwörter der Abteilung mit einer ähnlichen Geschwindigkeit hätte knacken können, heißt es in dem Bericht.
Der Watchdog stellte fest, dass fast 5 % aller Passwörter aktiver Benutzerkonten auf einer Variation des Wortes „Passwort“ basierten und dass die Abteilung inaktive oder ungenutzte Benutzerkonten nicht „rechtzeitig“ abwickelte, wodurch mindestens 6.000 Benutzerkonten anfällig blieben zu kompromittieren.
Der Bericht kritisierte auch das Innenministerium für die „nicht konsequente“ Implementierung oder Durchsetzung der Zwei-Faktor-Authentifizierung, bei der Benutzer einen Code von einem Gerät eingeben müssen, das sie physisch besitzen, um Angreifer daran zu hindern, sich nur mit einem gestohlenen Passwort anzumelden. Der Bericht besagt, dass fast neun von zehn der hochwertigen Vermögenswerte der Abteilung, wie z. B. Systeme, die den Betrieb ernsthaft beeinträchtigen oder den Verlust sensibler Daten beeinträchtigen würden, nicht durch irgendeine Form von Zwei-Faktor-Sicherheit geschützt waren, und die Abteilung hatte dies Ein Ergebnis missachtete 18 Jahre Bundesmandate, einschließlich seiner „eigenen internen Richtlinien“. Als der Wachhund um einen detaillierten Bericht über die Verwendung der Zwei-Faktor-Authentifizierung durch die Abteilung bat, sagte die Abteilung, dass die Informationen nicht existierten.
„Dieses Versäumnis, eine grundlegende Sicherheitskontrolle zu priorisieren, führte zur fortgesetzten Verwendung der Ein-Faktor-Authentifizierung“, schloss der Watchdog.
In seiner Antwort sagte das Innenministerium, es stimme den meisten Feststellungen des Generalinspektors zu und sagte, es sei „engagiert“ für die Umsetzung der Exekutivverordnung der Biden-Regierung, die die Bundesbehörden anweist, ihre Cybersicherheitsabwehr zu verbessern.
Weiterlesen: