美國內部資安漏洞 密碼竟出現「Password-1234」

編譯／鄭智懷

美國內政部監察長辦公室（Office of Inspector General，OIG）針對該部門的最新資安調查指出，部內的密碼安全政策已經過時且無效，員工普遍使用容易破解的密碼，如「Password-1234」。報告還發現內政部並未遵照聯邦政府已實施15年的多重身份驗證（Multi-Factor Authentication）規範，將近九成的高價值資產僅仰賴密碼保護等重大資安疏失。

調查小組表示，受檢測的85,944 個帳戶有18,174 個─佔活躍用戶的 21%─在短期內被破解，其中涵蓋288 個擁有高安全權限和 362 個美國政府高級公務員的帳戶。值得一提的是，該小組僅使用的總成本不到1.5萬美元的密碼破解器就在90分鐘內破解16%活躍用戶使用的密碼。

根據統計，4.75%的活躍用戶密碼由「Password」所延伸，最常出現的密碼為「Password-1234」─有475個帳戶使用。其他常用的密碼包括「Br0nc0$2012」、「Password123$」、「Password1234」、「Summ3rSun2020!」「Orlando_0000」等。事實上，上述的密碼符合內政部的密碼安全政策。

該報告還提到，內政部並未遵照聯邦政府已實施15年的多重身份驗證規範，強制要求員工在資訊設備上使用多重身份驗證，以防止攻擊者使用竊取的密碼登入。統計顯示，有89%的高價值資產，譬如關鍵營運設施或儲存機密檔案的系統，沒有受到多重身份驗證保護。當調查小組要求相關相關部門提供資料時，該部門表示沒有資料可以提供。

而對於調查結果，內政部表示同意大部分內容，未來將遵照拜登（Joe Biden）政府要求各部門加強資安防護的行政命令。

資料來源：Office of Inspector General U.S. Department of the Interior、Cybernews

瀏覽 761 次