Госрегулятор в ходе проведения проверки уровня кибербезопасности IT-инфраструктуры Министерства внутренних дел США обнаружил тысячи учётных записей сотрудников с простыми паролями. Самым популярным паролем оказался Password-1234, а у одного из администраторов домена был пароль 0rlando_0000.
Эксперты потратили $15 тыс. из бюджета на аудит хэшей паролей из базы пользователей в Active Directory МВД США. Они проверили хэши паролей более 81 тыс. аккаунтов и выяснили, что могут восстановить более 21% паролей к учётным записям сотрудников различных ведомств даже при условии, что их пароли соответствуют правилам установки сложного пароля и там не менее чем 12 символов в разных регистрах, а также есть цифры и спецсимволы.
Для проведения аудита паролей эксперты задействовали специально собранный профильный словарь из 1,5 млрд слов (размер словаря 10 ГБ, размер файла правил для возможного перебора и замены символов составлял 3 МБ) и открытое ПО для проведения подобных проверок. В качестве аппаратной части они задействовали вычислительный кластер из двух комплектов по восемь штук специальных видеоадаптеров.
Исследование базы хэшей показало, что в течение первых 90 минут высокопроизводительная система смогла восстановить около 14 тыс. паролей сотрудников (это 16% из всех учётных записей, задействованных в тесте), включая такие пароли, как Polar_bear65 и Nationalparks2014! Эксперты продолжили проводить аудит базы паролей 8 недель и выявили за это время ещё 4200 паролей.
Десятка самых популярных паролей сотрудников МВД США.В итоге госрегулятор дал рекомендации IT-службе МВД США усилить требования к правилам составления паролей, оперативно проверять срок их действия и внедрить многофакторную аутентификацию. Оказалось, что её использовали лишь 11% пользователей.
В ноябре 2022 года компания-диспетчер паролей NordPass выпустила отчёт, в котором говорится, что password стал самым популярным паролем в 2022 году. Среди других популярных паролей у пользователей числятся: 123456, 123456789, guest и qwerty.
