Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 – с высокопоставленным госслужащими. В первые 90 минут удалось подобрать пароли 16% сотрудников.
Примечательно, что 99.99% определённых паролей соответствовали правилам выбора сложного пароля, требующим использования в пароле не менее чем 12 символов, а также наличия символов в разных регистрах, цифр и спецсимволов. Подобные требования не помогли избежать указания тривиально подбираемых паролей, например, пароль “Password-1234” использовался 478 сотрудниками, Password123$ – 318, Password1234 – 274, Password1234! – 150, 1234password$ – 138. Другие популярные пароли: Br0nc0$2012 – 389, Summ3rSun2020! – 191, 0rlando_0000 – 160, ChangeIt123 – 140 и ChangeItN0w! – 130.
Для подбора паролей по хэшам использовалась система с 16 GPU. Проверка осуществлялась при помощи словаря в 1.5 млрд слов, в которых были включены словари для различны языков, словарь специфичных для министерства терминов, типовые последовательности типа “qwerty” и публично доступные списки паролей, полученных в результате утечек и взломов. При переборе учитывались типовые замены букв на цифры и спецсимволы. В качестве методов для усложнения подбора рекомендовано использовать длинные пароли из нескольких слов или автоматичкески генерировать менеджерами паролей случайные последовательности символов.
Другой выявленной в ходе аудита проблемой стало низкое распространение многофакторной аутентификации, которая применялась лишь в 11% значимых ресурсов (3 из 28), компрометация которых могла нанести серьёзный ущерб организации.