Примечательно, что 99.99% определённых паролей соответствовали правилам выбора сложного пароля, требующим использования в пароле не менее чем 12 символов, а также наличия символов в разных регистрах, цифр и спецсимволов. Подобные требования не помогли избежать указания тривиально подбираемых паролей, например, пароль «Password-1234» использовался 478 сотрудниками, Password123$ — 318, Password1234 — 274, Password1234! — 150, 1234password$ — 138. Более того, пароль у 4.75% активных пользователей основывался на манипуляции со словом «password». Другие популярные пароли: Br0nc0$2012 — 389, Summ3rSun2020! — 191,
0rlando_0000 — 160, ChangeIt123 — 140 и ChangeItN0w! — 130.
Для подбора паролей по хэшам использовалась система с 16 GPU, которая в первые 90 минут смогла подобрать пароли 16% сотрудников (на подбор оставшихся 5% ушло 8 недель).
Проверка осуществлялась при помощи коллекции в 1.5 млрд слов, в которую были включены словари для различны языков, словарь специфичных для министерства терминов, типовые последовательности вида «qwerty» и публично доступные списки паролей, полученных в результате утечек и взломов. При переборе учитывались типовые замены букв на цифры и спецсимволы. В качестве методов для усложнения подбора рекомендовано использовать длинные пароли из нескольких слов или автоматически генерировать менеджерами паролей случайные последовательности символов.
Другой выявленной в ходе аудита проблемой стало низкое распространение многофакторной аутентификации, которая применялась лишь в 11% значимых ресурсов (3 из 28), компрометация которых могла нанести серьёзный ущерб организации.
Источник: http://www.opennet.ru/opennews/art.shtml?num=58461