Una quinta parte de las contraseñas utilizadas por la agencia federal fueron descifradas durante una auditoría de seguridad


Getty Images Más de una quinta parte de las contraseñas que protegen cuentas de red en el Departamento del Interior de EE. UU., ¡incluidas Password1234, Password1234! y ChangeItN0w! – eran lo suficientemente débiles como para ser descifrados usando métodos estándar, según una reciente revisión de seguridad realizada por la agencia. La auditoría fue realizada por el inspector general del departamento, quien obtuvo hashes criptográficos para 85,944 cuentas de Active Directory (AD) de empleados. Luego, los examinadores utilizaron una lista de más de 1.500 millones de palabras, que incluyen:

  • Diccionarios de varios idiomas
  • Terminología del gobierno de EE. UU.
  • referencias a la cultura pop
  • Listas de contraseñas disponibles públicamente recopiladas de violaciones de datos pasadas en los sectores público y privado
  • Patrones de teclado comunes (por ejemplo, «qwerty»).

Los resultados no fueron alentadores. En general, los examinadores descifraron 18 174, o el 21 por ciento, de los 85 944 hashes criptográficos que probaron; De las cuentas afectadas, 288 tenían privilegios elevados y 362 de ellas pertenecían a altos funcionarios del gobierno. En los primeros 90 minutos de la prueba, los auditores descifraron los hash del 16 por ciento de las cuentas de usuario del departamento. La auditoría descubrió otra falla de seguridad: la falta de implementación constante de la autenticación multifactor (MFA). El incumplimiento se extendió a 25, o el 89 por ciento, de 28 activos de alto valor (HVA), que, si se violan, tienen el potencial de afectar seriamente las operaciones de la agencia. «Es probable que si un atacante bien equipado capturara los hashes de contraseñas de AD del departamento, el atacante habría tenido una tasa de éxito similar a la nuestra al descifrar los hashes», se lee en el informe de inspección final. «La importancia de nuestros hallazgos con respecto a la gestión deficiente de contraseñas del Departamento se destaca dada nuestra alta tasa de éxito en el descifrado de hash de contraseñas, la gran cantidad de contraseñas elevadas y funcionarios gubernamentales de alto nivel que desciframos, y el hecho de que la mayoría de los HVA del Departamento no tienen implementó MFA, incluso más». Las contraseñas más comunes utilizadas, seguidas por la cantidad de usuarios, fueron:

  • Contraseña-1234 | 478
  • Br0nc0$2012 | 389
  • Contraseña123$ | 318
  • Contraseña1234 | 274
  • Somm3rSo2020! | 191
  • 0rlando_0000 | 160
  • Contraseña1234! | 150
  • Cambiarlo123 | 140
  • 1234Contraseña$ | 138
  • ChangeItN0w! | 130

TechCrunch informó anteriormente los resultados de la auditoría. Según la publicación, los revisores gastaron menos de $ 15,000 en la construcción de una plataforma para descifrar contraseñas. Refiriéndose a un representante del departamento, decía: Display

La configuración que usamos consta de dos equipos, cada uno con 8 GPU (16 en total) y una consola de administración. Los propios equipos ejecutan varios contenedores de código abierto donde podemos invocar 2, 4 u 8 GPU y asignarles tareas desde la consola de distribución de trabajo de código abierto. Usando GPU de segunda y tercera generación detrás de los productos disponibles actualmente, logramos puntos de referencia NTLM combinados previos al trabajo de campo de 240 GH probando NTLM sobre máscaras de 12 caracteres y 25.6 GH sobre un diccionario de 10 GB y un archivo de reglas de 3 MB. Las velocidades reales variaron entre múltiples configuraciones de prueba durante el compromiso.

La gran mayoría, el 99,99 por ciento, de las contraseñas descifradas por los examinadores cumplieron con los requisitos de complejidad de contraseñas del departamento, que exigen al menos 12 caracteres y contienen al menos tres de los cuatro tipos de caracteres que consisten en letras mayúsculas, letras minúsculas, dígitos y números especiales. caracteres. La auditoría descubrió lo que Ars ha estado diciendo durante casi una década: tales políticas generalmente no tienen sentido. Eso es porque las guías asumen que los atacantes usarán métodos de fuerza bruta, probando metódicamente todas las combinaciones posibles en orden alfanumérico. Con mucha más frecuencia, los atacantes usan listas de contraseñas previamente descifradas disponibles en Internet. Luego, los atacantes conectan las listas en plataformas que contienen docenas de GPU súper rápidas que prueban cada palabra en orden de popularidad de cada cadena. «Aunque una contraseña [such as Password-1234] cumple con los requisitos, porque contiene letras mayúsculas y minúsculas, dígitos y un carácter especial, es extremadamente fácil de descifrar”, dice el informe final. “La segunda contraseña más utilizada fue Br0nc0$2012. Aunque esto puede parecer una contraseña «más segura», en la práctica es muy débil porque se basa en una sola palabra del diccionario con sustituciones de caracteres comunes». El informe señaló que las Pautas de identidad digital NIST SP 800-63 recomiendan frases de contraseña largas consisten en varias palabras no contiguas porque son más difíciles de descifrar para una computadora. Ars ha recomendado durante mucho tiempo usar un administrador de contraseñas para crear y almacenar frases de contraseña aleatorias. Desafortunadamente, ni siquiera puede contar con el inspector general del departamento para obtener consejos sólidos sobre contraseñas. Los auditores criticaron al departamento por no cambiar las contraseñas cada 60 días como se requiere. Muchas políticas gubernamentales y corporativas continúan exigiendo dichos cambios, aunque la mayoría de los expertos en seguridad de contraseñas han llegado a la conclusión de que solo fomentan la elección de contraseñas débiles. El mejor consejo es usar una contraseña segura, generada aleatoriamente, que sea única para cada cuenta y cambiarla solo si hay motivos para creer que se ha visto comprometida.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.