天创培训:您身边的信息安全培训专家!
行业动态
黑掉政府网站有多难?26%的西澳政府官员被曝仍在使用弱密码

黑掉政府网站有多难?26%的西澳政府官员被曝仍在使用弱密码

对于西澳大利亚洲政府的IT员工来说,最近公布的一项审计结果报告可能会让他们欲哭无泪,甚至是彻底抓狂。由该州审计长于本周公布的一份针对西澳大利亚政府的安全审计报告指出,大约有26%的西澳政府官员所使用的密码都被归类为“弱密码”,并且在来自17个政府机构的23.4万个密码中,有5000个密码都包含了同一个单词——“password”。

据《华盛顿邮报(Washington Post)》记者Taylor Telford的报道,其中一些弱密码应该是黑客所喜欢的。比如,其中有1464人使用“Password123”作为自己的密码,813人使用的是“Password1”,而有近200人直接使用“Password”,并且这些密码似乎自创建以来就没有被更换过。

另外,其中有1.3万个密码基于季节和日期的组合,如“Sping2017”或“October2017”,以及有近7000个密码使用了“123”这样的数字组合。

弱密码的确便于记忆,但其所带来的潜在后果是无法估量。从这份报告我们得知,许多帐户可用于访问重要的信息或关键的系统。其中一些账户甚至拥有对信息或系统的远程访问权限,且无需任何额外的审查或凭证。在一个案例中,审计人员通过猜测密码成功访问了一个政府机构的网络,而这个拥有完整系统管理员权限的账户所使用的密码居然就是简简单单的“Summer123”。

不仅如此,该报告还指出,大多数被发现存在弱密码问题的政府机构同样也缺乏妥善保存密码的意识,一些政府官员甚至直接将密码保存在Word文档或电子表格中。

西澳大利亚洲的审计长Caroline Spencer表示:“在多次向各个政府机构提出密码风险后,人们仍在使用password123和abcd1234来访问重要的信息或关键的系统,这是不可接受的。”

近年来,数起大规模的数据泄露事件发生在大型企业身上。在2013年,雅虎(Yahoo)的一个电子邮件账户遭到入侵,泄露了30亿用户的数据。在2016年,美国成人交友网站FriendFinder Networks遭遇网络攻击,黑客从6个数据库中窃取了包括密码和个人信息在内的累积了20年的数据。在2017年,美国三大信用机构之一的Equifax因一个安全漏洞暴露了1.43亿消费者的个人信息,包括社会保险号、出生日期、住址,以及部分驾驶执照号码。

弱密码无疑会使这些威胁被数倍放大,导致黑客攻击更加容易实现。在这份报告公布后,西澳大利亚洲政府表示会加强安全措施,且正在研究新的方法来帮助工作人员更安全地存储他们的密码信息。新成立的“Digital Government”办公室将成立一个网络安全团队,致力于改善政府范围内的安全实践。