Passwortsicherheit ist vielerorts ein leidiges Thema. (Foto: Shutterstock)
In den USA gibt es für Ministerien eigene Richtlinien, was die Sicherheit von Passwörtern angeht. Dass diese Richtlinien aber unter anderem Passwörter wie „Password1234“ zulassen, ist schlecht, da manche Accounts Zugang zu Milliardenbudgets des Bundesstaates haben.
Das Verlassen auf Behauptungen, dass Passwörter, die die Mindestsicherheitsanforderungen der Abteilung erfüllen, gut genug sind, gibt Mitarbeitern dabei nur ein falsches Gefühl der Sicherheit. Um diesen Standpunkt zu verdeutlichen, gab der Generalinspektor für Cybersicherheit rund 15.000 US-Dollar für den Bau eines Passwort-Cracking-Rigs aus, wie Techcrunch berichtet.
Mit diesem Setup ist es ihm gelungen, Passwörter auszulesen. Innerhalb der ersten 90 Minuten konnte er sich fast 14.000 Mitarbeiterkennwörter anzeigen lassen. Darunter waren Passwörter wie „Nationalparks2014!“. Auch Hunderte Konten von hochrangigen Regierungsangestellten und andere Konten mit erhöhten Sicherheitsprivilegien für den Zugriff auf sensible Daten und Systeme konnten mit einfachen Mitteln eingesehen werden.
Fehler eingestanden
Der Inspektor sagte, er habe seine eigene benutzerdefinierte Wortliste zum Knacken der Passwörter der Abteilung aus Wörterbüchern in mehreren Sprachen sowie Terminologie der US-Regierung, Verweise auf die Popkultur und andere öffentlich verfügbare Listen mit gehashten Passwörtern aus früheren Datenverletzungen kuratiert. Die Demonstration zeigte, dass ein gut ausgestatteter Cyberkrimineller die Passwörter der Abteilung ohne Probleme hätte knacken können.
Es wurde festgestellt, dass fast fünf Prozent aller Passwörter aktiver Benutzerkonten auf einer Variation des Wortes „Passwort“ basierten und dass das Innenministerium die Implementierung oder Durchsetzung der Zwei-Faktor-Authentifizierung „nicht konsequent“ genug durchzog. In seiner Antwort sagte das Innenministerium, es stimme den meisten Feststellungen des Generalinspektors zu, und erklärte, es sei der Umsetzung der Exekutivverordnung der Biden-Regierung „verpflichtet“, die die Bundesbehörden anweist, ihre Cybersicherheitsabwehr zu verbessern.
