Frage:
Ist es möglich, die Passwortstärke zu bestimmen, ohne das Passwort zu kennen?
pi.
2016-07-06 20:31:41 UTC
view on stackexchange narkive permalink

Ich habe gerade einen Bericht über einen Penetrationstest erhalten und eine der Empfehlungen war, Passwörter zu stärken. Ich stellte jedoch fest, dass für die Tester keine Passwörter bereitgestellt wurden, und wollte herausfinden, ob es möglich ist, die Stärke eines Passworts zu bestimmen, ohne dieses Passwort tatsächlich zu kennen?

Sie bedeuten wahrscheinlich, dass sie einige Kontokennwörter gebrochen haben, und dass Ihre Kennwortrichtlinie im Allgemeinen als zu lasch angesehen wird.
Ich würde sagen, dass sie in 99% der Organisationen wahrscheinlich Recht haben, also könnten sie dies jedes Mal jedem erzählen und ziemlich sicher sein, dass sie fast nie darüber befragt werden.
Sie könnten sie immer fragen?
Ehrlich gesagt, wenn Sie mich fragen: "Was kann ich tun, um die Sicherheit zu erhöhen?"Ich würde ohne zu zögern antworten: "Stärken Sie Ihre Passwortrichtlinie."Es ist so eine pauschale Aussage, dass sie fast nie falsch sein können.Es spielt keine Rolle, ob es sich um eine Domäne, eine Anwendung oder einen Garagentoröffner handelt (der einen Stift hat).Es ist immer noch eine gültige Antwort.
@coteyr Einige Richtlinien (insbesondere strenge Kennwortrichtlinien in Kombination mit kurzen Ablaufplänen) fördern das Aufschreiben von Kennwörtern - es besteht ein Gleichgewicht.
Mein erster Gedanke ist, dass sie einen zu kurzen Passwort-Hash gesehen haben.Wenn Sie Passwort-Hashes speichern und diese 16 Hex-Zeichen lang sind, würde ich annehmen, dass Sie das schrecklich nicht empfohlene DES verwenden, um den Hash auszuführen.Selbst mit Salz / Pfeffer wäre das nicht gut.Natürlich wäre mein Rat aussagekräftiger gewesen, wenn dies der Fall gewesen wäre.
@Random832, Ich stimme zu, aber es ändert nichts an der Antwort.
Möglicherweise hatten sie physischen Zugriff auf einen der Computer oder es gibt eine Website, auf der Sie ein neues Benutzerkonto anfordern können.Dann würde es wahrscheinlich einen Bildschirm mit den Passwortanforderungen geben.Ich weiß, das mag ziemlich dumm und unkompliziert sein, aber oft genug funktioniert dumm.
Sie können festlegen, wie lange Ihr Computer benötigt, um das Kennwort zu "hacken".Alles unter 100 Jahren ist wahrscheinlich zu schwach.
> homomorphe Verschlüsselung
@Aron Hoffentlich meinen Sie * schätzen *, wie lange ein Computer brauchen würde, um das Passwort zu "hacken".Das Timing wäre eine lange Übung in der Vergeblichkeit.:) :)
@Darthfett Wenn es keine Übung in Vergeblichkeit war, dann ist das Verschlüsselungsalgo schwach.
Sieben antworten:
DKNUCKLES
2016-07-06 20:40:21 UTC
view on stackexchange narkive permalink

Ich würde mir vorstellen, dass es zwei Möglichkeiten gibt, wie sie zu den Informationen gekommen sind, aus denen sie diese Schlussfolgerung gezogen haben.

  1. Sie haben den Befehl net accounts / domain ausgeführt auf einem Benutzercomputer, auf dem die Kennwortkomplexitätsanforderungen für Ihr Unternehmen gespeichert wurden (vorausgesetzt Windows / Active Directory)
  2. Sie haben erzwungene (oder erratene) Benutzerkennwörter erfolgreich brutal ausgeführt, weil sie schwach waren. Jüngste Passwort-Dumps wie LinkedIn haben eine Fülle von realen Passwörtern bereitgestellt, mit denen Pen-Tester vor Ort versucht haben, Passwörter zu knacken.
    3. ol>

    Ohne weitere Informationen ist es schwer zu sagen, wie sie zu diesem Schluss gekommen sind (wir haben keine Ahnung, was das rote Team getan hat oder was im Umfang war), aber diese beiden Möglichkeiten sind meine Angenommen, sie haben es getan.

Oder sie könnten es einfach als Bonus hinzufügen.
Oder sie haben ein Konto mit einem schwachen Passwort erstellt und festgestellt, dass es eine schwache Passwortrichtlinie gibt
tim
2016-07-06 20:41:29 UTC
view on stackexchange narkive permalink

Nicht wirklich.

Was ein Tester möglicherweise weiß:

  • Kennwortrichtlinie : Bei der Anmeldung oder beim Ändern eines Kennworts kann die Anwendung die möglichen Kennwörter einschränken , was zu schwachen Passwörtern führt. Die Kennwortrichtlinie kann auch schwache Kennwörter zulassen, dies wäre jedoch ein separates Problem.
  • Kennwortlänge : Der Tester hat möglicherweise Informationen zur Kennwortlänge erhalten, z. B. über Blind SQL Injection und hat sich möglicherweise nicht die Mühe gemacht, das Kennwort zu erfassen.
  • Das Kennwort : Der Tester hat möglicherweise Zugriff auf die Kennwörter erhalten, z. B. durch SQL-Injection oder durch Bruteforcing der Anmeldung. Diese Probleme sollten jedoch auch separat aufgeführt werden.
Die Erfassung von SQL-Injection-Passwörtern sollte nur möglich sein, wenn Passwörter im Klartext gespeichert werden.
+1 für Passwortrichtlinie, löschen Sie einfach den Rest.
@AzeezahM Sie wären überrascht und wahrscheinlich entsetzt darüber, wie viele Unternehmen genau das tun.
gowenfawr
2016-07-06 20:44:42 UTC
view on stackexchange narkive permalink

Ja, dies ist möglich.

Windows-Netzwerke sind möglicherweise anfällig für Null Session-Angriffe, mit denen der Angreifer Systemdetails auflisten kann:

... erhalten anonymen Zugriff auf IPC $. Standardmäßig ermöglichen Hosts der Windows NT-Familie den anonymen Zugriff auf System- und Netzwerkinformationen über NetBIOS, sodass Folgendes ermittelt werden kann:

  • Benutzerliste
  • Maschinenliste
  • NetBIOS-Namensliste
  • Freigabeliste
  • Kennwortrichtlinieninformationen
  • Gruppen- und Mitgliederliste
  • Richtlinieninformationen der lokalen Sicherheitsbehörde
  • Vertrauensinformationen zwischen Domänen und Hosts
Zack
2016-07-06 23:44:24 UTC
view on stackexchange narkive permalink

Ein angemessener, vollständiger und professioneller Pen-Testbericht muss alle Ergebnisse detailliert enthalten. Es sollte nicht nur auflisten, wie sie zu ihren Schlussfolgerungen gekommen sind, sondern auch, welche Methoden sie verwendet haben, und möglicherweise Screenshots ihrer Beweise. Wenn nicht, können Sie weitere Details anfordern und diese sind verpflichtet, die Details zu erklären oder anzugeben.

Trotzdem glaube ich, dass sie ohne weitere Details die Kennwortrichtlinie im Allgemeinen finden und darauf basierend raten können, sie zu ändern oder zu verbessern, wenn sie glauben, dass sie schwach oder unvollständig ist. Selbst dann können und sollten sie nicht davon ausgehen, dass ein bestimmtes Benutzerkennwort nur aufgrund dieser Richtlinie schwach ist. Komplexe oder sichere Kennwörter können (in einigen Fällen) auch mit einer nicht so starken Kennwortrichtlinie erstellt werden.

Die meisten Schwachstellen treten auf, wenn der Benutzer ein schwaches Kennwort auswählt, unabhängig von der geltenden Kennwortrichtlinie.

Lie Ryan
2016-07-08 07:41:19 UTC
view on stackexchange narkive permalink

Wiederholen Sie nach mir: Es ist nicht möglich, die Passwortstärke zu bestimmen, selbst wenn Sie das Passwort kennen!

Nochmals: Es ist nicht möglich, die Passwortstärke zu bestimmen, selbst wenn Sie das Passwort kennen!

Auf der anderen Seite können Sie die Kennwortstärken anhand Ihrer Kennwortrichtliniendokumente ermitteln. Wenn in Ihrem Kennwortrichtliniendokument nicht angegeben ist, wie Kennwörter generiert werden sollen, ist korrekt, dass Sie eine schwache Kennwortrichtlinie und damit eine schwache Kennwortstärke haben.

Eine gute Kennwortrichtlinie gibt mindestens die Mindestentropieanforderung für das Kennwort an verschiedene sichere Abschnitte und die Methode zur Kennwortgenerierung, anstatt wie Kennwörter oberflächlich aussehen sollten.

Äh, ein wissentlich schwaches Passwort ist ungeachtet aller anderen Faktoren nicht gut, einschließlich, aber nicht beschränkt auf die Passwortrichtlinie selbst.
Wenn einige tatsächliche Kennwörter schwach sind, erlaubt die Kennwortrichtlinie offensichtlich schwache Kennwörter.(Natürlich kennen wir die durchschnittliche Passwortstärke nicht.)
@techraf: das Wort "gerade" steht in dem Kontext, in dem OP glaubt, dass Sie das Passwort kennen müssten, um die Passwortstärke zu kennen.Das ist falsch.Wenn Sie die Passwörter kennen, erhalten Sie nicht wirklich viele Informationen über die Stärke dieser Passwörter, außer in einigen sehr trivialen Fällen.Die einzige Möglichkeit, die Kennwortstärke zu berechnen, besteht darin, die Generierungsmethode zu betrachten, nicht das Ergebnis der Kennwortgenerierung.Sobald Sie festgelegt haben, wie Kennwörter generiert werden sollen, ist der Rest nur noch eine Frage der Konformität.
Wenn die Passwörter nicht richtig gesalzen sind, kann man anhand einer Regenbogentabelle mit schwachen Passwörtern die Stärke eines unbekannten Passworts anhand des Hashs bestimmen :)
TOOGAM
2016-07-06 21:58:12 UTC
view on stackexchange narkive permalink

Es kann einige Informationen darüber geben, wie die Passwörter gespeichert werden. Beispiel: Sharity Light-Leitfaden , Abschnitt 3, empfiehlt, aus Gründen der Kompatibilität "LmCompatibilityLevel" = dword: 1 "festzulegen. Dies führt dazu, dass Kennwörter weniger sicher gespeichert werden.

In diesem Fall, was der Benutzer eingibt ist jedoch nicht das erkannte Problem. Es wird jedoch darauf hingewiesen, wie die Anmeldeinformationen gespeichert werden. Durch Ändern solcher Speicherdetails kann das Ergebnis vernünftigerweise als eine Änderung beschrieben werden, die "Kennwörter verstärkt".

user116917
2016-07-07 22:13:13 UTC
view on stackexchange narkive permalink

Stärke = Länge + Großbuchstaben / Nicht-Großbuchstaben + Zahlen + Sonderzeichen

Um diese zu kennen, muss man jedoch das Passwort kennen.Sie könnten die Passwortrichtlinie überprüfen, aber einige andere Antworten haben dies bereits erwähnt.
-1


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...