超过1400个澳大利亚政府账户受“Password123”保护

每天，我们都会看到一些研究报告，详细说明了当今信息安全状况的糟糕程度。花费大量时间来整理这些论文，所有这些艰苦工作的想法是告诉用户，组织和服务提供商在数据安全性出现时应该做什么和不应该做什么。这就是理论，但正如西澳大利亚政府即将向您展示的那样，它并没有真正发挥作用。

审计长Caroline Spencer领导的团队负责确定西澳政府机构的信息安全性。共审查了17个机构，结果令人震惊。上周二发布的59页报告突出了一些不同的缺点，包括缺乏漏洞管理和风险评估，访问控制不佳等，但最受关注的论文部分是讨论澳大利亚官员的问题。密码实践。

许多澳大利亚政府工作人员的密码极差

为了找出澳大利亚政府雇员使用的密码类型，Caroline Spencer的团队从渗透测试工具中获取了常见的弱密码列表，并模拟了针对17个政府机构的Active Directory环境的字典攻击 。如果它是真的，那么攻击就可以成功地破解它所针对的234,000个账户中的26％。

破坏账户的密码和你期望的一样糟糕。保护超过1,400个帐户，澳大利亚审计员发现的最常见密码是“Password123”，其次，我们有“Project10”，仅有不到1000名政府官员使用。在前20名列表中，我们可以看到其他可预测和可怕的选择，如“密码”和“abcd1234”，但我们也有像“Logitech1”这样的条目，这可能会告诉你很多关于被审查机构使用的键盘品牌。

应该注意的是，所有这些帐户都是代理商内部系统的一部分，这意味着您最有可能需要的不仅仅是计算机和互联网连接来访问它们，但这并不会使密码变得不那么重要。此外，审计人员在报告中表示，在2017年，他们在正确猜测密码为“Summer123”之后，设法闯入了面向公众的政府账户。

对于澳大利亚政府雇员使用的可疑密码应该归咎于谁？

我们应该对这一切感到惊讶吗？当然，假装字典攻击的结果非常悲惨，但是其他报告中的结果也是如此，这些结果检查了普通用户的密码创建习惯。换句话说，人类为澳大利亚政府工作，和所有人一样，他们在管理密码方面表现不佳。这不是突发新闻，是吗？

问题是，这不是我们谈论的小型网上商店或留言板。这是一个政府 - 一个负责管理整个国家的庞大组织（而且是一个相当大的组织）。它应该更好地了解，它应该创建严格的策略，关于什么可以和什么不能用作密码。它还应该投资于教导员工如何正确进行密码管理.

它既没有做过这些事情，也有可能更令人担忧的是，它很可能不是唯一一个在这方面失败的政府。