Das US-Innenministerium hat Passwort- und Sicherheitsprobleme

US-Innenministerium: über 20% aller Passwörter in Audit geknackt

Das US-Innenministerium steht in der Kritik, im Anschluss daran eine Untersuchung zur IT-Sicherheit der Behörde veröffentlicht wurde. Der Report des Generalinspektors mit dem Überschrift “P@s$w0rter im Innenministerium: Einfach geknackt, mangelhafte Multi-Faktor Authentifizierung und andere Versäumnisse stellen eine Gefahr für kritische Systeme dar” beschreibt auf 43 Seiten. Dass Ministerium mit schwachen Passwörtern – fehlender MFA und veralteten Praktiken arbeitet.



Schwache Passwörter und fehlende Multi-Faktor Authentifizierung


Die Untersuchung wurde angestoßen, nachdem 20-40 % der Passwörter aus im Vorausigen Projekten geknackt werden konnten. In nur 90 Minuten schafften es die Pentester 16 Prozentsatz aller Passwörter im Ministerium zu knacken. Insgesamt wurden 18․174 von 85․944 Passwörtern gefunden, darunter ebenfalls von Accounts mit “erhöhten Rechten” und von hochrangigen Beamten. Auch inaktive Accounts wurden nicht deaktiviert. Fast 5 % aller Nutzer hatten ein Passwort mit dem Wort “password” in verschiedenen Variationen und die Passwortanforderungen seien “veraltet und ineffektiv”, da sie die Nutzung schwacher Passwörter begünstigt haben.



Mangelhafte Sicherheitsmaßnahmen


Das Innenministerium erklärte das Fehlen von Multi-Faktor Authentifizierung mit den “Auswirkungen auf die Endnutzer”. Nur 6 % aller Accounts waren durch einen Extra-Faktor geschützt. Nutzer mit erhöhten Rechten waren dazu verpflichtet, einen Smartcard-Anmeldung zu nutzen, dennoch hatten lediglich 46 Anwender diese Option deaktiviert.



Beliebteste Passwörter im US-Innenministerium


Die beliebtesten Passwörter im US-Innenministerium sind “Password-1234”, “Br0nc0$2012”, “Password123$”, “Password1234”, “Summ3rSun2020!”, “0rlando_0000”, “Password1234!”, “ChangeIt123”, “1234password$” und “ChangeItN0w!”. Diese Passwörter sind sehr unsicher und sollten vermieden werden.



Einordnung


Passwörter sind der Eingang in die meisten Systeme. Dass nicht mal die US-Behörden es schaffen, ihre Nutzer zu ordentlicher Passworthygiene zu ermutigen ist erschreckend. Für sichere Passwörter sollte man am besten einen Passwortmanager verwenden. Unternehmen sollten eine Passwort-Änderung nur erzwingen, wenn es einen Ursache dafür gibt. Andernfalls treibt man die Nutzer zu unsicheren Praktiken.







Kommentare


Ähnliche News



Apple erfordert nun anwendungsspezifische Passwörter für iCloud

 Apple macht App-spezifische Passwörter für iCloud zur Pflicht

Ab sofort müssen Nutzer von iCloud-Diensten die Dritt-Apps wie Outlook nutzen, anwendungsspezifische Passwörter erstellen. Dies ist jedoch nur möglich, wenn der Zwei-Faktor-Schutz aktiviert ist. Mac & i hat eine Instruktion erstellt welche Schritte Nutzer nunmehr befolgen müssen.


Twitter schränkt SMS-basierte Zwei-Faktor-Authentifizierung ein

 Twitter: Zwei-Faktor-Authentifizierung per SMS künftig nur noch für Abonnenten

Twitter hat angekündigt, dass ab sofort nur noch Abonnenten von Twitter Blue die SMS-basierte Zwei-Faktor-Authentifizierung nutzen können. Diese Entscheidung wurde getroffen, da es in der Vergangenheit Missbrauch von Telefonnummern und SMS als Kontosicherungsmaßnahme gab.


Apple erhöht Sicherheit für iCloud-Konten

 Apple erhöht Sicherheit für iCloud-Konten

Apple steigert die Sicherheit für iCloud-Konten: Das Unternehmen weitet die Zwei-Faktor-Authentifizierung auf den Anmeldevorgang für iCloud-Konten im Web-Browser aus und führt anwendungsspezifische Passwörter für Outlook und Thunderbird ein.


Anzeige