Pouco mais de um quinto de todas as senhas usadas no sistema do Departamento do Interior dos EUA eram fracas o suficiente para serem quebradas por métodos padrão, de acordo com um relatório (PDF) da auditoria de segurança do departamento.
Fonte da imagem: Markus Spiske / unsplash.com
Os especialistas que conduziram a inspeção obtiveram hashes de senha de 85.944 contas de funcionários no Active Directory. Essas senhas foram ainda tentadas a serem quebradas usando um banco de dados de 1,5 bilhão de palavras, incluindo: dicionários de vários idiomas, terminologia do governo dos EUA, referências da cultura pop, senhas públicas que se tornaram conhecidas como resultado de vazamentos anteriores, bem como combinações de teclas como QWERTY . Isso permitiu que 18.174 ou 21% das senhas fossem quebradas. Ao mesmo tempo, 288 contas correspondentes tinham altos privilégios no sistema e 362 pertenciam a funcionários de alto escalão do departamento. Somente nos primeiros 90 minutos, 16% das contas foram invadidas. A auditoria também revelou outra vulnerabilidade de segurança – a incapacidade real da agência de implementar autorização multifatorial em 25 (ou 89%) dos recursos mais valiosos de 28,
Aqui está a lista das senhas mais populares:
- Senha-1234 (usada por 478 usuários);
- Br0nc0$2012 (389);
- Senha123$ (318);
- Senha1234 (274);
- Summ3rSun2020! (191);
- 0rlando_0000 (160);
- Senha1234! (150);
- ChangeIt123 (140);
- 1234senha$ (138);
- ChangeItN0w! (130).
Para hackear, os especialistas usaram um sistema de 16 placas de vídeo 2 ou 3 gerações mais antigas que os produtos atuais. Vale ressaltar que 99,9% das senhas quebradas atendiam formalmente aos requisitos de segurança: tinham pelo menos 12 caracteres e continham 3 dos 4 tipos de caracteres exigidos – letras minúsculas e maiúsculas, números e caracteres especiais.