Weil Mitarbeiter des US-Innenministeriums leicht zu erratene Kennwörter wie Password-1234 nutzen, könnten Angreifer leichtes Spiel haben. Im Zuge einer Prüfung konnte ein Sicherheitsbeauftragter 21 Prozent der ihm überlassenen Passwort-Hashes von Mitarbeitern des US-Innenministeriums knacken. Darunter auch welche von leitenden Angestellten. Dem Ergebnis der Studie zufolge könnten Angreifer eine ähnliche Erfolgsquote aufweisen. Außerdem komme Multi-Faktor-Authentifizierung (MFA) nicht konsequent zum Einsatz. Wird MFA genutzt, reicht einem Angreifer ein geknacktes Passwort zum Einloggen nicht aus und er müsste zusätzlich einen Einmalcode kennen, den ein Opfer etwa über eine Authenticator-App auf einem Smartphone erzeugt. Um die Hashes der Passwörter zu knacken, hat der Prüfer eigenen Angaben zufolge Hardware im Wert von rund 15.000 US-Dollar bestehend aus zwei Rigs mit 16 GPUs benutzt. Weitere Informationen zum Ablauf findet man im ausführlichen Report. (…) Insgesamt standen dem Prüfer 85.944 Passwort-Hashes zur Verfügung. Bereits nach 90 Minuten hat er eigenen Angaben zufolge 16 Prozent davon geknackt. Insgesamt liegt die Erfolgsquote bei 21 Prozent. 288 der geknackten Accounts sollen weitreichende Nutzerrechte aufweisen und 362 sollen zu leitenden Regierungsangestellten gehören. Außerdem kam bei der Prüfung raus, dass 89 Prozent von kritischen Regierungssystemen in dieser Einrichtung keine MFA eingesetzt haben.
via heise: Sicherheitsprüfung: 13.000 Passwörter der US-Regierung in 90 Minuten geknackt
