超過1400個澳大利亞政府賬戶受“Password123”保護
每天,我們都會看到一些研究報告,詳細說明了當今信息安全狀況的糟糕程度。花費大量時間來整理這些論文,所有這些艱苦工作的想法是告訴用戶,組織和服務提供商在數據安全性出現時應該做什麼和不應該做什麼。這就是理論,但正如西澳大利亞政府即將向您展示的那樣,它並沒有真正發揮作用。
審計長Caroline Spencer領導的團隊負責確定西澳政府機構的信息安全性。共審查了17個機構,結果令人震驚。上週二發布的59頁報告突出了一些不同的缺點,包括缺乏漏洞管理和風險評估,訪問控制不佳等,但最受關注的論文部分是討論澳大利亞官員的問題。密碼實踐。
許多澳大利亞政府工作人員的密碼極差
為了找出澳大利亞政府僱員使用的密碼類型,Caroline Spencer的團隊從滲透測試工具中獲取了常見的弱密碼列表,並模擬了針對17個政府機構的Active Directory環境的字典攻擊 。如果它是真的,那麼攻擊就可以成功地破解它所針對的234,000個賬戶中的26%。
破壞賬戶的密碼和你期望的一樣糟糕。保護超過1,400個帳戶,澳大利亞審計員發現的最常見密碼是“Password123”,其次,我們有“Project10”,僅有不到1000名政府官員使用。在前20名列表中,我們可以看到其他可預測和可怕的選擇,如“密碼”和“abcd1234”,但我們也有像“Logitech1”這樣的條目,這可能會告訴你很多關於被審查機構使用的鍵盤品牌。
應該注意的是,所有這些帳戶都是代理商內部系統的一部分,這意味著您最有可能需要的不僅僅是計算機和互聯網連接來訪問它們,但這並不會使密碼變得不那麼重要。此外,審計人員在報告中表示,在2017年,他們在正確猜測密碼為“Summer123”之後,設法闖入了面向公眾的政府賬戶。
對於澳大利亞政府僱員使用的可疑密碼應該歸咎於誰?
我們應該對這一切感到驚訝嗎?當然,假裝字典攻擊的結果非常悲慘,但是其他報告中的結果也是如此,這些結果檢查了普通用戶的密碼創建習慣。換句話說,人類為澳大利亞政府工作,和所有人一樣,他們在管理密碼方面表現不佳。這不是突發新聞,是嗎?
問題是,這不是我們談論的小型網上商店或留言板。這是一個政府 - 一個負責管理整個國家的龐大組織(而且是一個相當大的組織)。它應該更好地了解,它應該創建嚴格的策略,關於什麼可以和什麼不能用作密碼。它還應該投資於教導員工如何正確進行密碼管理.
它既沒有做過這些事情,也有可能更令人擔憂的是,它很可能不是唯一一個在這方面失敗的政府。