Autor: Steven Hope, direktor proizvoda, MFA u Intercedeu
Ministarstvo unutarnjih poslova SAD-a treba pohvaliti za transparentnost koju je pokazalo objavljivanjem svog izvješća 3. siječnja 2023., pod naslovom 'P@s$w0rds u Ministarstvu unutarnjih poslova SAD-a: lozinke koje se lako provaljuju, nedostatak višefaktorske autentifikacije i ostali kvarovi ugrožavaju kritične DOI sustave'. Izvješće i popratne preporuke za popravak prate inspekciju i otkrivaju probleme sa zaposlenicima odjela koji koriste lozinke pronađene na popisima povrijeđenih zaporki koje su dostupne na internetu, korištenje jednofaktorske provjere autentičnosti i neaktivne račune koji nisu onemogućeni.
Tijekom inspekcije 18.174 (21%) od 85.944 aktivne korisničke lozinke uspjelo se probiti, od čega 16% u prvih 90 minuta. To je uključivalo 288 računa s povećanim privilegijama i 362 računa viših službenika američke vlade. Nadalje, utvrđeno je da su zahtjevi za složenost lozinke "zastarjeli i neučinkoviti", pri čemu se 4,75% lozinki temelji na riječi "lozinka". Bez pravila koja bi sprječavala nepovezano osoblje da koristi istu slabu lozinku, otkriveno je da je 478 aktivnih računa koristilo 'Password-1234'.
Ovo izvješće dolazi nakon novih ažuriranih smjernica Nacionalnog instituta za standarde i tehnologiju (NIST – dio Ministarstva trgovine) koji je sastavio ažurirane smjernice za pomoć SAD-u u borbi protiv prijevara i kibernetičkog kriminala. Općenito se smatra da je NIST postavio svjetski zlatni standard za upravljanje lozinkama, a njegove nove 'Smjernice za digitalni identitet' imaju za cilj podržati vladine napore da 'ojača verifikaciju identiteta za vladine sustave koje koristi američka javnost, dok balansira privatnost, jednakost i pristupačnost'. Ažuriranje uključuje pojedinosti o upotrebi biometrijskih podataka za provjeru identiteta, kao i metode provjere autentičnosti koje su otpornije na phishing napade, te preporuke za dijeljenje i razmjenu podataka o identitetu između različitih sustava.
Plan poboljšanja u osam točaka detaljno opisan u izvješću Ministarstva unutarnjih poslova, savjetuje da se poštuju NIST propisi (osobito NIST SP 800-63 i NIST SP 800-53), i bilo bi dragocjeno štivo za svaku organizaciju koja se pita koliko su dobri zaštićeni od krađe identiteta, drugih oblika napada i povrede podataka.
Objavljivanjem ovog izvješća Vlada SAD-a baca svjetlo na probleme s kojima se suočavaju druge organizacije javnog sektora, velika i mala poduzeća diljem svijeta u upravljanju lozinkama i administriranju odgovarajućih razina višefaktorske autentifikacije.
Zapravo, svoje putovanje možete započeti već danas, otkrivanjem statusa povrede vaše organizacije, s povjerljivim izvješćem o sigurnosti lozinke od Authlogicsa (tvrtke Intercede Group). Ovo će izvješće identificirati korisnike sa slabim i neusklađenim lozinkama; opseg u kojem se ugrožene lozinke dijele s web stranicama i organizacijama trećih strana i računima koji dijele istu zaporku. Nadalje, stručnjaci su dostupni za pomoć u olakšavanju potrebnih poboljšanja od lozinki do PKI-ja i svih točaka između.