В США проверяющие за 15 тыс. долларов взломали федеральное агентство
Управление генерального инспектора Министерства внутренних дел осуществляет надзор за исполнительным агентством США, которое заведует федеральными землями, национальными парками и бюджетом в миллиарды долларов. В управлении заявили, что начали расследование после того, как предыдущая проверка выявила уязвимости в дюжине агентств и бюро МВД. На этот раз цель состояла в том, чтобы выявить защищённость земельного департамента.
Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.
Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.
Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.
Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.
В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.
Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.
Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.
Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.
Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.
В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.
- Дмитрий Ладыгин
- pexels.com/photo/685674
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас
Ящик Пандоры открыт: ИИ-копия погибшего… выступила в Аризоне на суде
После этого убийца получил максимальный срок. Почему это крайне опасный прецедент?...
Ловцы тепла: археологи рассказали, как древние люди сумели пережить жуткое похолодание
Цунами высотой 20 метров обрушилось на Европу, а потом настала зима длиной в 200 дней в году....
Не НЛО, не спутник: почему правительство Колумбии так хочет заполучить этот объект?
Эксперты говорят, что это одна из самых больших сенсаций за последнее время....
В 12350 году до н.э. на Земле произошел настоящий апокалипсис
Если бы эта солнечная буря случилась сейчас, то количество жертв составило бы сотни миллионов человек....
Ученые практически коснулись марсианской воды
Новейшее исследование открывает сенсационные подробности....
Ученые хотят выращивать запасные человеческие тела
Биологи обещают, что не будут включать сознание в «запчастях»....