
В США проверяющие за 15 тыс. долларов взломали федеральное агентство
Управление генерального инспектора Министерства внутренних дел осуществляет надзор за исполнительным агентством США, которое заведует федеральными землями, национальными парками и бюджетом в миллиарды долларов. В управлении заявили, что начали расследование после того, как предыдущая проверка выявила уязвимости в дюжине агентств и бюро МВД. На этот раз цель состояла в том, чтобы выявить защищённость земельного департамента.
Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.
Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.
Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.
Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.
В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.
Инспекторы потратили менее 15 тыс. $ на создание установки для взлома паролей. Оборудование состоит из двух платформ по 8 графических процессоров и консоли управления. Её использовали для восстановления паролей, замаскированных звёздочками или другими символами. В течение первых 90 минут проверяющие смогли восстановить почти 14 тыс. хешированных паролей сотрудников, то есть около 16 % всех учётных записей отдела, включая пароли типа Polar_bear65 и Nationalparks2014 и даже Password1234. Ещё 4 200 хешированных паролей взломали за остальные восемь недель работы.
Проверка также восстановила сотни учётных записей, принадлежащих высокопоставленным госслужащим, и другие учётные записи с повышенными привилегиями безопасности для доступа к конфиденциальным данным и системам.
Установки для взлома паролей также используют огромное количество данных для сравнения со скремблированными паролями. Используя открытый исходный код и свободно доступное программное обеспечение, например Hashcat, можно сравнивать списки читаемых слов и фраз с хешированными паролями. Например, password конвертируется в 5f4dcc3b5aa765d61d8327deb882cf99. Поскольку этот хеш пароля уже известен, компьютеру требуется менее микросекунды, чтобы подтвердить его.
Инспекторы заявили, что разработали собственный список слов для взлома паролей из словарей на нескольких языках, а также терминологии правительства США, ссылок на поп-культуру и других общедоступных списков хешированных паролей, собранных в результате прошлых утечек данных. Тем самым проверяющие доказали, что киберпреступник с хорошими ресурсами мог взломать пароли департамента с аналогичной скоростью, говорится в отчёте.
В отчёте также критиковали МВД за «непоследовательное» внедрение или применение двухфакторной аутентификации. Соблюдая её, пользователи должны вводить код с дополнительного устройства, чтобы для входа в систему одного лишь украденного пароля было недостаточно.
- Дмитрий Ладыгин
- pexels.com/photo/685674
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас

Прогноз-2025: Кто первым нажмет красную кнопку в Третьей мировой?
Эксперты говорят: ядерная война может начаться гораздо быстрее и внезапнее, чем считалось до этого....

Ученые поражены: у растений есть секретный второй набор корней глубоко под землей
Это не только сенсация в ботанике, это вообще переворот в науке....

Найдено идеальное место для жизни на Марсе
По словам ученых, оно похоже… на нашу Сибирь....

Тайна разгадана: стало известно, почему большинство кошек предпочитают спать строго на одном боку
Оказалось, что это древний защитный механизм, которому миллионы лет....

Уникальная находка в Нидерландах: археологи обнаружили римский лагерь далеко за пределами Империи
Как лидар и искусственный интеллект нашли объект-«невидимку» II века....

Эксперты обнаружили существ, переживших прямой удар астероида, который уничтожил динозавров
Почему конец света — это вовсе не повод, чтобы вымирать?...

Ученые хотят создать хранилище микробов, чтобы те… не вымерли
Звучит кошмарно, но на самом деле от этого зависит судьба всего человечества....

32 удивительных подарка за последние 20 лет: ученые пытаются понять, за что косатки «балуют» людей
Природная доброта? Любопытство? Желание выйти на контакт?...