Ne vous sentez pas mal d’avoir oublié de changer votre mot de passe pour quelque chose de plus complexe – le département américain de l’intérieur ne fait rien meilleur. Un audit de sécurité publié plus tôt ce mois-ci a révélé des failles de sécurité des mots de passe assez surprenantes au sein du département, dont la plus flagrante est que plus d’un cinquième des mots de passe DOI ont été facilement déchiffrés.
Le rapport a été publié par le Bureau de l’Inspecteur général du Département américain de l’intérieur, et il décrit la multitude de failles de sécurité entourant la gestion des mots de passe du DOI. Dans l’ensemble, les auditeurs de sécurité ont réussi à déchiffrer 18 174 des 85 944 mots de passe du département, soit 21 %, tandis que l’équipe a pu pirater 13 924 de ces mots de passe en moins de 90 minutes. Le bureau a également signalé que 288 mots de passe appartenant à des comptes à privilèges élevés et 362 mots de passe pour des hauts fonctionnaires ont également été piratés.
« Nous avons également appris que les exigences de complexité des mots de passe du Département autorisaient implicitement le personnel indépendant à utiliser les mêmes mots de passe intrinsèquement faibles et que le Département n’avait pas désactivé en temps opportun les comptes inactifs ou imposé des limites d’âge pour les mots de passe », a écrit Kathleen Sedney, l’inspecteur général adjoint pour les audits, les inspections. , et Évaluations, dans le rapport. « Il est probable que si un attaquant disposant de ressources suffisantes capturait les hachages de mot de passe du département AD, l’attaquant aurait atteint un taux de réussite similaire au nôtre pour casser les hachages. »
L’audit indique que la moitié des 10 mots de passe les plus fréquemment réutilisés contenaient tous une variation du mot « password » et « 1234 », comme Password1234!, Password123$, ou même simplement Mot de passe-1234. Les autres mots de passe couramment réutilisés incluent Br0nc0$2012, Summ3rSun2020! et ChangeItN0w!.
Le ministère de l’Intérieur n’a pas non plus réussi à mettre en œuvre l’authentification multifacteur sur 89 % des systèmes à haute valeur. actifs, qui sont «des actifs qui pourraient avoir de graves répercussions sur la capacité du Ministère à mener ses activités s’ils sont compromis», selon le rapport. L’authentification multifactorielle est définie par le Bureau de l’inspecteur général comme une mesure connue, comme un code PIN, un objet physique, comme une carte d’accès, ou une biométrie, comme une empreinte digitale ou un motif rétinien.
G/O Media peut toucher une commission
Jusqu’à 100 $ de crédit
Réserve Samsung
Réservez l’appareil Samsung de nouvelle génération
Tout ce que vous avez à faire est de vous inscrire avec votre e-mail et boum : crédit pour votre précommande sur un nouvel appareil Samsung.
« Il est probable que si un attaquant disposant de ressources suffisantes capturait les hachages de mots de passe du département AD, l’attaquant aurait atteint un taux de réussite similaire au nôtre pour casser les hachages. L’importance de nos conclusions concernant la mauvaise gestion des mots de passe du Ministère est amplifiée compte tenu de notre taux de réussite élevé dans le piratage des mots de passe, du grand nombre de mots de passe à privilèges élevés et des mots de passe des hauts fonctionnaires que nous avons piratés, et du fait que la plupart des employés du Ministère [high-value assets] n’a pas employé [multi-factor authentication]», a écrit Sedney.
La méthodologie de l’audit révèle que les mots de passe du ministère de l’Intérieur ont été testés à l’aide d’un système qui a coûté moins de 15 000 $ à construire à l’aide d’un logiciel en libre accès et d’une liste de mots personnalisée. Les recommandations que Sedney et le Bureau ont recommandées au ministère de l’Intérieur comprennent la priorisation de la mise en œuvre et de la validation de l’authentification multifacteur dans les systèmes du ministère, et la refonte des normes de sécurité des mots de passe pour les utilisateurs qui définissent un nouveau mot de passe.
GIPHY App Key not set. Please check settings