منو سایت

  • خانه
  • وبلاگ
  • ناظر دولتی 15000 دلار برای شکستن رمزهای عبور آژانس فدرال در چند دقیقه هزینه کرد • TechCrunch

ناظر دولتی 15000 دلار برای شکستن رمزهای عبور آژانس فدرال در چند دقیقه هزینه کرد • TechCrunch

 تاریخ انتشار :
/
  وبلاگ
ناظر دولتی 15000 دلار برای شکستن رمزهای عبور آژانس فدرال در چند دقیقه هزینه کرد • TechCrunch

نگهبان دولتی با انتشار انتقاد شدیدی از موضع وزارت کشور در مورد امنیت سایبری، دریافت که می‌تواند هزاران حساب کاربری کارمند را بشکند، زیرا سیاست‌های امنیتی این وزارتخانه اجازه می‌دهد گذرواژه‌هایی را که به راحتی حدس می‌زنند، مانند 'Password1234'.

در گزارش دفتر بازرس کل وزارت کشور، که بر سازمان اجرایی ایالات متحده که زمین های فدرال، پارک های ملی و بودجه میلیارد دلاری را مدیریت می کند، نظارت می کند، اتکای این وزارتخانه به رمزهای عبور به عنوان تنها راه برای محافظت از برخی از مهم ترین سیستم ها و سیستم های آن اعلام شده است. حساب‌های کاربری کارکنان، نزدیک به دو دهه از دستورالعمل‌های امنیت سایبری خود دولت برای احراز هویت دو عاملی قوی‌تر سرپیچی کردند.

نتیجه‌گیری شد که سیاست‌های ضعیف رمز عبور، بخش را در معرض خطر نقض قرار می‌دهد که می‌تواند منجر به “احتمال زیاد” اختلال گسترده در عملیات آن شود.

دفتر بازرس کل اعلام کرد که تحقیقات خود را پس از آزمایش قبلی در مورد حفاظت از امنیت سایبری آژانس که سیاست‌ها و الزامات رمز عبور ضعیف را در بیش از ده‌ها آژانس و دفتر وزارت کشور پیدا کرده بود، آغاز کرده است. هدف این بار تعیین این بود که آیا حفاظت های بخش امنیتی برای جلوگیری از استفاده از رمزهای عبور دزدیده شده و بازیابی شده کافی است یا خیر.

خود رمزهای عبور همیشه به شکل قابل خواندن دزدیده نمی شوند. گذرواژه‌هایی که در وب‌سایت‌ها و سرویس‌های آنلاین ایجاد می‌کنید معمولاً به‌گونه‌ای رمزگذاری و ذخیره می‌شوند که برای انسان غیرقابل خواندن هستند – معمولاً به صورت رشته‌ای از حروف و اعداد به ظاهر تصادفی – بنابراین رمزهای عبور دزدیده شده توسط بدافزار یا نقض داده‌ها، به راحتی قابل استفاده نیستند. هک های اضافی این هش رمز عبور نامیده می شود و پیچیدگی یک رمز عبور (و قدرت الگوریتم هش مورد استفاده برای رمزگذاری آن) تعیین می کند که چقدر طول می کشد تا کامپیوتر رمزگشایی آن را انجام دهد. به طور کلی، هر چه رمز عبور طولانی تر یا پیچیده تر باشد، بازیابی آن بیشتر طول می کشد.

اما مقامات سازمان دیده بان گفتند که تکیه بر ادعاهایی مبنی بر اینکه گذرواژه‌هایی که حداقل الزامات امنیتی وزارتخانه را برآورده می‌کنند، بیش از صد سال طول می‌کشد تا با استفاده از نرم‌افزار شکستن رمز عبور خارج از قفسه، بازیابی «حس کاذب امنیتی» ایجاد شود که رمزهای عبور او در کل امن هستند. بخشی از آن به دلیل در دسترس بودن تجاری قدرت محاسباتی امروزی است.

برای بیان نظر خود، سازمان دیده بان کمتر از 15000 دلار برای ساختن یک پلتفرم شکستن رمز عبور – راه اندازی از یک کامپیوتر با کارایی بالا یا چندین کامپیوتر متصل به هم – با قدرت محاسباتی طراحی شده برای انجام وظایف پیچیده ریاضی، مانند بازیابی رمزهای عبور هش شده، هزینه کرد. در 90 دقیقه اول، سازمان دیده بان توانست نزدیک به 14000 رمز عبور کارمند یا حدود 16 درصد از کل حساب های بخش، از جمله پسوردهایی مانند رمز عبور را بازیابی کند. 'Polar_bear65' و 'Nationalparks2014!'.

این سازمان همچنین صدها حساب متعلق به مقامات ارشد دولتی و سایر حساب‌های دارای امتیازات امنیتی بالا را برای دسترسی به داده‌ها و سیستم‌های حساس بازیابی کرد. 4200 رمز عبور هش شده دیگر برای هشت هفته آزمایش اضافی شکسته شدند.

سیستم‌های شکستن رمز عبور مفهوم جدیدی نیستند، اما برای کار کردن به توان محاسباتی و مصرف انرژی قابل توجهی نیاز دارند و می‌توانند به راحتی چندین هزار دلار هزینه داشته باشند تا یک پیکربندی سخت‌افزاری نسبتاً ساده ایجاد کنند. (در مقایسه، White Oak Security حدود 7000 دلار برای یک پلتفرم نسبتا قدرتمند در سال 2019 هزینه کرد.)

تاسیسات شکستن رمز عبور نیز برای مقایسه با رمزهای عبور رمزگذاری شده، به مقادیر زیادی داده قابل خواندن توسط انسان متکی هستند. با استفاده از نرم‌افزارهای آزاد و متن‌باز مانند Hashcat می‌توانید لیستی از کلمات و عبارات قابل خواندن را با رمزهای عبور هش شده مقایسه کنید. مثلا، 'password' تبدیل به '5f4dcc3b5aa765d61d8327deb882cf99'. از آنجایی که این هش رمز عبور قبلاً شناخته شده است، کمتر از یک میکروثانیه طول می کشد تا رایانه آن را تأیید کند.

بر اساس این گزارش، وزارت کشور هش رمز عبور برای هر حساب کاربری را در اختیار ناظر قرار داد، و سپس 90 روز منتظر ماند تا رمز عبور منقضی شود – طبق سیاست رمز عبور خود وزارتخانه – قبل از اینکه تلاش برای شکستن آنها ایمن شود.

متولی گفت که فهرست سفارشی خود را از کلمات شکستن رمز عبور بخش از فرهنگ لغات به زبان های مختلف و همچنین اصطلاحات دولت ایالات متحده، ارجاعات فرهنگ عامه و سایر لیست های در دسترس عموم از گذرواژه های هش شده که از نقض داده ها در گذشته جمع آوری شده اند، تهیه کرده است. (معمولی نیست که شرکت‌های فناوری لیستی از رمزهای عبور دزدیده شده را در سایر موارد نقض داده جمع‌آوری کنند تا با مجموعه گذرواژه‌های هش‌شده مشتریان خود به عنوان راهی برای جلوگیری از استفاده مجدد مشتریان از همان رمز عبور از سایر وب‌سایت‌ها، مقایسه کنند.) با انجام این کار، نگهبان در این گزارش آمده است که نشان می دهد که یک مجرم سایبری با منابع خوب می تواند رمزهای عبور این وزارتخانه را با سرعت مشابهی بشکند.

سازمان دیده بان دریافت که تقریباً 5 درصد از کل رمزهای عبور برای حساب های کاربری فعال بر اساس تغییراتی در کلمه “گذرواژه” است و این بخش “به موقع” حساب های کاربری غیرفعال یا استفاده نشده را خاتمه نمی دهد و حداقل 6000 حساب کاربری را آسیب پذیر می کند. ایمان داشتن.

این گزارش همچنین از وزارت کشور به دلیل اجرای «ناسازگار» یا اجرای احراز هویت دو مرحله‌ای انتقاد می‌کند، که در آن کاربران باید کدی را از دستگاهی که به صورت فیزیکی مالک آن هستند وارد کنند تا از ورود مهاجمان فقط با رمز عبور سرقت شده جلوگیری شود. در این گزارش آمده است که نزدیک به 9 مورد از 10 دارایی با ارزش این وزارتخانه، مانند سیستم هایی که به طور جدی بر عملیات آن یا از دست دادن داده های حساس تأثیر می گذارد، توسط نوعی امنیت عامل دوم محافظت نمی شوند و این وزارتخانه به عنوان نتیجه 18 سال دستورات فدرال، از جمله “سیاست های داخلی خودمان” را نادیده گرفت. هنگامی که سازمان دیده بان درخواست گزارش دقیقی در مورد استفاده این بخش از احراز هویت دو مرحله ای کرد، وزارت گفت که این اطلاعات وجود ندارد.

سازمان دیده بان در پایان گفت: «این شکست در اولویت بندی کنترل های امنیتی اساسی منجر به استفاده مداوم از احراز هویت تک عاملی شده است.

وزارت کشور در پاسخ خود گفت که با اکثر یافته‌های بازرس کل موافق است و گفت که “متعهد” به اجرای دستور اجرایی دولت بایدن است که به آژانس‌های فدرال دستور می‌دهد تا حفاظت از امنیت سایبری خود را بهبود بخشند.

بیشتر بخوانید: