美國內部資安漏洞 密碼竟出現「Password-1234」

編譯/鄭智懷

美國內政部監察長辦公室(Office of Inspector General,OIG)針對該部門的最新資安調查指出,部內的密碼安全政策已經過時且無效,員工普遍使用容易破解的密碼,如「Password-1234」。報告還發現內政部並未遵照聯邦政府已實施15年的多重身份驗證(Multi-Factor Authentication)規範,將近九成的高價值資產僅仰賴密碼保護等重大資安疏失。

調查小組表示,受檢測的85,944 個帳戶有18,174 個─佔活躍用戶的 21%─在短期內被破解,其中涵蓋288 個擁有高安全權限和 362 個美國政府高級公務員的帳戶。值得一提的是,該小組僅使用的總成本不到1.5萬美元的密碼破解器就在90分鐘內破解16%活躍用戶使用的密碼。

調查小組表示,受檢測的85,944 個帳戶有18,174 個─佔活躍用戶的 21%─在短期內被破解,其中涵蓋288 個擁有高安全權限和 362 個美國政府高級公務員的帳戶。示意圖:RF123

根據統計,4.75%的活躍用戶密碼由「Password」所延伸,最常出現的密碼為「Password-1234」─有475個帳戶使用。其他常用的密碼包括「Br0nc0$2012」、「Password123$」、「Password1234」、「Summ3rSun2020!」「Orlando_0000」等。事實上,上述的密碼符合內政部的密碼安全政策。

該報告還提到,內政部並未遵照聯邦政府已實施15年的多重身份驗證規範,強制要求員工在資訊設備上使用多重身份驗證,以防止攻擊者使用竊取的密碼登入。統計顯示,有89%的高價值資產,譬如關鍵營運設施或儲存機密檔案的系統,沒有受到多重身份驗證保護。當調查小組要求相關相關部門提供資料時,該部門表示沒有資料可以提供。

而對於調查結果,內政部表示同意大部分內容,未來將遵照拜登(Joe Biden)政府要求各部門加強資安防護的行政命令。

資料來源:Office of Inspector General U.S. Department of the InteriorCybernews

瀏覽 782 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button