Una auditoría de las cuentas de usuario del Departamento del Interior de EE. UU. descubrió que más del 20 % de las contraseñas podían descifrarse debido a la falta de seguridad.
Se obtuvieron los hashes de contraseña para casi 86 000 cuentas de directorio activo (AD), y más de 18 000 de ellas se descifraron utilizando métodos de piratería bastante estándar. La mayoría se rompieron en los primeros 90 minutos.
Además, casi más de 300 de las cuentas descifradas pertenecían a empleados de alto nivel y poco menos de 300 tenían privilegios elevados.
Adivinanzas fáciles
Para descifrar los hash, los auditores usaron dos equipos que costaron menos de $15,000, compuestos por 16 GPU en total, algunas de algunas generaciones, y trabajaron en una lista de más de mil millones de palabras que probablemente se usarían en las contraseñas de las cuentas.
Tales palabras incluían entradas de teclado sencillas como «qwerty», terminología relacionada con el gobierno de EE. UU. y referencias a la cultura popular. También se utilizaron contraseñas obtenidas de listas disponibles públicamente de filtraciones de datos de organizaciones públicas y privadas.
Entre las contraseñas más populares estaba «Password-1234», que fue utilizada por casi 500 cuentas, y variaciones sutiles, como «Password1234», «Password123$», «Password1234!», también fueron utilizadas por cientos de otras cuentas.
Otra preocupación revelada por la auditoría fue la falta de autenticación multifactor (MFA) para reforzar la seguridad de la cuenta. Casi el 90% de los activos de alto valor (HVA), que son vitales para las operaciones de la agencia, no implementaron la función.
En el informe posterior a la auditoría, se indicó que si un actor de amenazas obtuviera acceso a los hash de contraseñas de los departamentos, tendría una tasa de éxito similar a la lograda por los auditores.
Además de su tasa de éxito, otras áreas de preocupación destacadas en el informe fueron «la gran cantidad de privilegios elevados y contraseñas de empleados gubernamentales de alto nivel que desciframos, y el hecho de que la mayoría de las HVA del Departamento no empleaban MFA».
Otra preocupación es que prácticamente todas las contraseñas cumplían con los requisitos del departamento para contraseñas seguras: un mínimo de 12 caracteres con una combinación de mayúsculas y minúsculas, dígitos y caracteres especiales.
Sin embargo, como muestra la auditoría, seguir estos requisitos no necesariamente resulta en contraseñas difíciles de descifrar. Los piratas informáticos generalmente trabajan a partir de listas de contraseñas que las personas usan comúnmente, por lo que no tienen que usar la fuerza bruta en cada palabra para intentar descifrarlas.
El informe en sí dio el ejemplo de la segunda contraseña más común que encontraron en la auditoría, «Br0nc0$2012»:
«Aunque puede parecer una contraseña ‘más fuerte’, en la práctica es muy débil porque se basa en una sola palabra del diccionario con reemplazos de caracteres comunes».
El Inspector General también afirmó que las contraseñas no se cambiaban cada 60 días, como se estipula para sus empleados. Sin embargo, los expertos en seguridad no recomiendan este tipo de consejos en la actualidad, ya que solo alienta a los usuarios a generar contraseñas más débiles para recordarlas más fácilmente.
Las pautas de identidad digital NIST SP 800–63 (se abre en una pestaña nueva) recomienda usar una cadena de palabras aleatorias en sus contraseñas, ya que son mucho más difíciles de descifrar por las computadoras.
Además, con la llegada de los administradores de contraseñas y sus generadores de contraseñas integrados (también hay versiones independientes), ahora es más fácil que nunca crear contraseñas muy seguras y aleatorias que no tengan que recordarlas usted mismo.