In einer Untersuchung blamiert sich das US Innenministerium mit schwachen Passwörtern, fehlender MFA und veralteten Praktiken.
In einem Bericht vom Generalinspektor des US-Innenministeriums mit dem Titel „P@s$w0rter im Innenministerium: Einfach geknackt, mangelhafte Multi-Faktor Authentifizierung und andere Versäumnisse stellen eine Gefahr für kritische Systeme dar“ wurden die erschreckenden Details zur IT-Sicherheit der Behörde veröffentlicht. Auf 43 Seiten beschreibt dieser nicht nur, warum Passwörter so wichtig sind, sondern auch, was beim DOI alles schiefläuft.
Innenministerium startete Untersuchung nachdem schwache Passwörter auffielen
Die Untersuchung wurde angestoßen, nachdem „20-40 % der Passwörter aus vorherigen Projekten geknackt werden konnten“. So wurden einzelne Passwörter direkt auf Passwortlisten gefunden und waren außerdem mit Accounts ohne 2FA verbunden.
In nur 90 Minuten schafften es die Pentester 16 Prozent aller Passwörter im Ministerium zu knacken. Insgesamt wurden 18.174 von 85.944 Passwörtern geknackt, darunter auch 288 von Accounts mit „erhöhten Rechten“ (also, Systemadministratoren zum Beispiel) und 362 von hochrangigen Beamten. Auch inaktive Accounts wurden nicht deaktiviert.
Diese Passwörter nutzt man im Innenministerium
Fast 5 % aller Nutzer hatten ein Passwort mit dem Wort „password“ in verschiedenen Variationen und die Passwortanforderungen seien „veraltet und ineffektiv“, da sie die Nutzung schwacher Passwörter begünstigt haben. Die beliebtesten Passwörter im US-Innenministerium sind:
Password-1234
(478 Nutzer)Br0nc0$2012
(389 Nutzer)Password123$
(318 Nutzer)Password1234
(274 Nutzer)Summ3rSun2020!
(191 Nutzer)0rlando_0000
(160 Nutzer, einer davon Domain Administrator mit Vollzugriff)Password1234!
(150 Nutzer)ChangeIt123
(140 Nutzer)1234password$
(138 Nutzer)ChangeItN0w!
(130 Nutzer)
Multi-Faktor ist eine Belastung für Nutzer
„Wir fanden, dass in einer unklaren Anzahl von Anwendungen Ein-Faktor Authentifizierung möglich ist, obwohl entsprechende Anordnungen seit über 18 Jahren gelten […] einschließlich der [DOI internen] Richtlinien“. Man erklärte das Fehlen von Multifaktor mit den „Auswirkungen auf die Endnutzer“; ob diese Erklärung angemessen ist, ist allerdings fraglich. Für Nutzer mit erhöhten Rechten war ein Smartcard-Login glücklicherweise großteils Pflicht; nur 46 Anwender hatten es deaktiviert. 94 % aller Accounts waren jedoch nicht durch einen Extra-Faktor geschützt.
Einordnung
Passwörter sind der Eingang in die meisten Systeme. Dass nicht mal die US-Behörden es schaffen, ihre Nutzer zu ordentlicher Passworthygiene zu motivieren, ist erschreckend. Zweifelsohne sind in den ungeknackten Passwörtern die Namen von Partnern, Kindern und Hunden in Kombination mit Geburtsdaten. Für sichere Passwörter sollte man am besten einen Passwortmanager verwenden. Wenn ihr Nutzer habt, erzwingt eine Passwort-Änderung nur, wenn es einen Grund dafür gibt; sonst treibt ihr eure User zu Passwort-1234
.