Das US-Innenministerium hat Passwort- und Sicherheitsprobleme

US-Innenministerium: über 20% aller Passwörter in Audit geknackt

Das US-Innenministerium steht in der Kritik, anschließend eine Untersuchung zur IT-Sicherheit der Behörde veröffentlicht wurde. Der Bericht des Generalinspektors mit dem Titel “P@s$w0rter im Innenministerium: Einfach geknackt, mangelhafte Multi-Faktor Authentifizierung und andere Versäumnisse stellen eine Gefahr für kritische Systeme dar” beschreibt auf 43 Seiten. Dass Ministerium mit schwachen Passwörtern – fehlender MFA und veralteten Praktiken arbeitet.



Schwache Passwörter und fehlende Multi-Faktor Authentifizierung


Die Untersuchung wurde angestoßen, nachdem 20-40 % der Passwörter aus vorherigen Projekten geknackt werden konnten. In nur 90 Minuten schafften es die Pentester 16 Prozent aller Passwörter im Ministerium zu knacken. Insgesamt wurden 18․174 von 85․944 Passwörtern gefunden, darunter ebenfalls von Accounts mit “erhöhten Rechten” und von hochrangigen Beamten. Auch inaktive Accounts wurden nicht deaktiviert. Fast 5 % aller Nutzer hatten ein Passwort mit dem Wort “password” in verschiedenen Variationen und die Passwortanforderungen seien “veraltet und ineffektiv”, da sie die Nutzung schwacher Passwörter begünstigt haben.



Mangelhafte Sicherheitsmaßnahmen


Das Innenministerium erklärte das Fehlen von Multi-Faktor Authentifizierung mit den “Auswirkungen auf die Endnutzer”. Nur 6 % aller Accounts waren durch einen Extra-Faktor geschützt. Nutzer mit erhöhten Rechten waren dazu verpflichtet, einen Smartcard-Login zu verwenden freilich hatten lediglich 46 Anwender diese Option deaktiviert.



Beliebteste Passwörter im US-Innenministerium


Die beliebtesten Passwörter im US-Innenministerium sind “Password-1234”, “Br0nc0$2012”, “Password123$”, “Password1234”, “Summ3rSun2020!”, “0rlando_0000”, “Password1234!”, “ChangeIt123”, “1234password$” und “ChangeItN0w!”. Diese Passwörter sind sehr unsicher und sollten vermieden werden.



Einordnung


Passwörter sind der Eingang in die meisten Systeme. Dass nicht mal die US-Behörden es schaffen, ihre Nutzer zu ordentlicher Passworthygiene zu motivieren ist erschreckend. Für sichere Passwörter sollte man am besten einen Passwortmanager verwenden. Unternehmen sollten eine Passwort-Änderung nur erzwingen, wenn es einen Grund dafür gibt. Andernfalls treibt man die Nutzer zu unsicheren Praktiken.








Kommentare


Anzeige