黑掉政府网站太简单!26%的西澳政府官员被曝仍在使用弱密码!
时间 : 2018-08-27 编辑 : DNS智能解析专家 来源 : DNS.COM
当你想到政府机构时,你会发现一切都是相当重要的并且有其秩序。事情是严格的,安全是必须的。毕竟这是政府,重大机密的东西可不能落入坏人之手。
对于西澳大利亚洲政府的IT员工来说,最近公布的一项审计结果报告可能会让他们欲哭无泪,甚至是彻底抓狂。由该州审计长于近日公布的一份针对西澳大利亚政府的安全审计报告指出,西澳政府官员所使用的密码中大约234,000个账户中就有26%(60,000个)拥有弱密码或常用密码。并且在来自17个政府机构的23.4万个密码中,有5000个密码都包含了同一个单词——“password”。
密码懒惰是一个问题
虽然弱密码在所有地方都很常见 ,即使是密码管理器创建并记住复杂且更安全的密码都从未如此简单,而西澳大利亚州政府所揭露的内容实在令人震惊:近1500名个人使用用“Password124”来保护他们的PC和它上面的数据。813人使用“Password1”和184“密码”。
试问如此还有人相信是安全的吗?
据《华盛顿邮报(Washington Post)》记者Taylor Telford的报道,其中一些弱密码应该是黑客所喜欢的。比如,其中有1464人使用“Password123”作为自己的密码,813人使用的是“Password1”,而有近200人直接使用“Password”,并且这些密码似乎自创建以来就没有被更换过。另外,其中有1.3万个密码基于季节和日期的组合,如“Sping2017”或“October2017”,以及有近7000个密码使用了“123”这样的数字组合。
不建议使用此类密码,特别将它们用于工作,尤其是在政府职位上,因为这样可能会导致安全问题,并产生巨大后果。想象一下网络犯罪分子可以轻松破解密码访问里面的数据。一个更可怕的事实是:许多员工在Word文档或电子表格中存储了众多账号密码。
弱密码有什么坏处?
如前所述:通常弱密码意味着有人可以访问您的数据。根据您使用相同密码的频率以及您存储的数据类型,这可能会导致网络犯罪分子获得对所有内容的访问权限:从一些个人信息到您的整个世界,包括您的银行帐户数据。
弱密码的确便于记忆,但其所带来的潜在后果是无法估量。从这份报告我们得知,许多帐户可用于访问重要的信息或关键的系统。其中一些账户甚至拥有对信息或系统的远程访问权限,且无需任何额外的审查或凭证。在一个案例中,审计人员通过猜测密码成功访问了一个政府机构的网络,而这个拥有完整系统管理员权限的账户所使用的密码居然就是简简单单的“Summer123”。
近年来,主要公司发现了几起巨大的数据泄露事件。2013年,雅虎的一个电子邮件帐户漏洞暴露了30亿用户的数据。在FriendFinder Network的2016年漏洞中 - 包括成人内容和FriendFinder,Penthouse.com和Stripshow.com等休闲连接网站 - 黑客访问了20年的数据,包括密码和个人信息。2017年,美国主要信贷局Equifax的违规行为暴露了1.43亿消费者的个人信息,包括社会安全号码,出生日期,地址和驾驶执照号码。
弱密码很容易成为黑客攻击的目标。去年,Verizon针对65家公司的黑客攻击事件的年度数据泄露调查报告发现,“81%与黑客相关的漏洞利用了被盗和/或弱密码。” 这个数字从过去三年的50%上升。
这不是西澳大利亚州政府特有的问题。2014年,美国参议院网络安全报告发现,重要政府机构中存在若干重大违规行为,包括国土安全部,国内税务局和核管理委员会。
特别对于政府机构而言,风险要大得多。想象一下有人设法获取国家机密的用户数据,或者核代码......是的, 这将带来一场灾难。就有报道称,“关于美国最弱的水坝的数据,包括那些可能在美国人失败后可能会杀死他们的水坝,被恶意入侵者偷走了”。“核电厂的机密网络安全计划一直没有得到保护。纽约证券交易所的技术蓝图暴露给黑客。”
对这些机构的网络安全实践的分析发现了反映西澳大利亚实践的趋势:使用“密码”对于敏感帐户和数据库来说是常见的,因为存储不当和保护凭证信息。
需要安全改变
根据西澳大利亚今日报道,审计长卡罗琳斯宾塞说:“在与机构反复提高密码风险后,不能再使用密码123和abcd1234访问关键代理系统和信息的。”
弱密码无疑会使这些威胁被数倍放大,导致黑客攻击更加容易实现。在这份报告公布后,西澳大利亚洲政府表示会加强安全措施,且正在研究新的方法来帮助工作人员更安全地存储他们的密码信息。新成立的“Digital Government”办公室将成立一个网络安全团队,致力于改善政府范围内的安全实践。
很明显,很多人都因为找到安全密码而负担过重。虽然政府承诺帮助这只是海洋中的一滴水。这个问题比西澳大利亚更进一步:根据Verizon的数据泄露调查报告,81%的与黑客相关的漏洞事件是由于密码被盗和密码错误造成的。
虽然在任何地方都非常需要密码安全方面的教育,传统的强密码指南就是使其长而复杂,包括符号和大小写字母的混合,定期更改它们,而实际上这样使黑客更容易,国家标准与技术研究院的Paul Grassi告知该组织目前的良好密码指南与过去的大相径庭:密码应该简单,长久且易于记忆。它建议使用易于用户使用的普通英语单词和短语,但对黑客更为强硬。为了保证账户安全,可选择一些冗长而令人难忘的东西去记忆,如果你改变它,记得切换多个字母或数字。为了安全,请拜托不要再使用“password”这个词当密码。
来源:https://www.ndtv.com/world-news/1-464-western-australian-government-officials-used-password123-as-their-password-but-dont-smirk-1904761
