imágenes falsas
Más de una quinta parte de las contraseñas que protegen las cuentas de red del Departamento del Interior de EE. UU., incluidas Password1234, Password1234! y ChangeItN0w!, eran lo suficientemente débiles como para ser descifradas utilizando métodos estándar, según descubrió una auditoría de seguridad de la agencia publicada recientemente.
La auditoría fue realizada por el Inspector General del departamento, que obtuvo hashes criptográficos para 85.944 cuentas de directorio activo (AD) de empleados. Luego, los auditores utilizaron una lista de más de 1.500 millones de palabras que incluía:
- Diccionarios de varios idiomas
- Terminología del gobierno de EE. UU.
- referencias a la cultura pop
- Listas de contraseñas disponibles públicamente recopiladas de violaciones de datos pasadas en los sectores público y privado
- Patrones de teclado comunes (p. ej., “qwerty”).
Los resultados no fueron alentadores. En total, los auditores descifraron 18.174, o el 21 por ciento, de los 85.944 hashes criptográficos que probaron; 288 de las cuentas afectadas tenían privilegios elevados y 362 de ellas pertenecían a altos funcionarios del gobierno. En los primeros 90 minutos de prueba, los auditores descifraron los hashes del 16 por ciento de las cuentas de usuario del departamento.
La auditoría descubrió otra debilidad de seguridad: la falta de implementación constante de la autenticación multifactor (MFA). La falla se extendió al 25, o el 89 por ciento, de los 28 activos de alto valor (HVA), que, cuando se violan, tienen el potencial de afectar gravemente las operaciones de la agencia.
“Es probable que si un atacante con buenos recursos capturara los hashes de contraseñas del Departamento AD, el atacante habría logrado una tasa de éxito similar a la nuestra al descifrar los hashes”, dijo el informe final de inspección fijado. “La importancia de nuestros hallazgos con respecto a la mala gestión de contraseñas del Departamento se magnifica dada nuestra alta tasa de éxito en el descifrado de hashes de contraseñas, la gran cantidad de privilegios elevados y contraseñas de empleados gubernamentales sénior que desciframos, y el hecho de que la mayoría de los HVA del Departamento no emplearon MFA. .”
Las contraseñas más utilizadas, seguidas por el número de usuarios, fueron:
- Contraseña-1234 | 478
- Br0nc0$2012 | 389
- Contraseña123$ | 318
- Contraseña1234 | 274
- Summ3rSun2020! | 191
- 0rlando_0000 | 160
- Contraseña1234! | 150
- Cambiarlo123 | 140
- 1234contraseña$ | 138
- ChangeItN0w! | 130
Heaven32 reportado los resultados de la auditoría antes. La publicación dijo que los auditores gastaron menos de $ 15,000 en la construcción de una plataforma para descifrar contraseñas. Citando a un representante del departamento, continuó:
La configuración que usamos consta de dos equipos con 8 GPU cada uno (16 en total) y una consola de administración. Los propios equipos ejecutan varios contenedores de código abierto en los que podemos activar 2, 4 u 8 GPU y asignarles tareas desde la consola de distribución de trabajo de código abierto. Usando GPU 2 y 3 generaciones detrás de los productos disponibles actualmente, logramos puntos de referencia combinados de NTLM previos al trabajo de campo de 240 GH probando NTLM a través de máscaras de 12 caracteres y 25,6 GH a través de un diccionario de 10 GB y un archivo de reglas de 3 MB. Las velocidades reales variaron en múltiples configuraciones de prueba durante el compromiso.
La gran mayoría, el 99,99 por ciento, de las contraseñas descifradas por los auditores cumplían con los requisitos de complejidad de contraseñas del departamento, que exigen un mínimo de 12 caracteres y contienen al menos tres de cuatro tipos de caracteres que consisten en mayúsculas, minúsculas, dígitos y caracteres especiales. La auditoría descubrió lo que Ars ha estado diciendo durante casi una década: tales pautas generalmente no tienen sentido.
Esto se debe a que las guías asumen que los atacantes utilizarán métodos de fuerza bruta, en los que cada combinación posible se prueba metódicamente en orden alfanumérico. Es mucho más común que los atacantes utilicen listas de contraseñas previamente descifradas, que están disponibles en Internet. Luego, los atacantes conectan las listas en plataformas que contienen docenas de GPU súper rápidas que prueban cada palabra en el orden de popularidad de cada cadena.
“Aunque una contraseña [such as Password-1234] cumple con los requisitos porque incluye mayúsculas, minúsculas, dígitos y un carácter especial, es extremadamente fácil de descifrar”, señaló el informe final. “La segunda contraseña más utilizada fue Br0nc0$2012. Aunque puede parecer una contraseña ‘más segura’, en la práctica es muy débil porque se basa en una sola palabra del diccionario con reemplazos de caracteres comunes”.
El informe señaló que Directrices de identidad digital NIST SP 800–63 recomiende frases de contraseña largas compuestas de varias palabras no relacionadas porque son más difíciles de descifrar para una computadora. Ars ha recomendado durante mucho tiempo usar un administrador de contraseñas para crear frases de contraseña aleatorias y almacenarlas.
Lamentablemente, ni siquiera se puede confiar en el inspector general del departamento para obtener un consejo de contraseña completamente confiable. Los auditores culparon al departamento por no cambiar las contraseñas cada 60 días según lo requerido. Muchas políticas gubernamentales y corporativas continúan exigiendo dichos cambios, aunque la mayoría de los expertos en seguridad de contraseñas han llegado a la conclusión de que solo fomentan la elección de contraseñas débiles. El mejor consejo es usar una contraseña segura, generada aleatoriamente, que sea única para cada cuenta y cambiarla solo cuando haya motivos para creer que podría haberse visto comprometida.