Convalida le tue ipotesi.
Se si suppone che questo sia un test della scatola nera, non dovrebbero ottenere o richiedere alcuna password di sorta.
Se si suppone che questa sia una configurazione review, o white box test, alcune password dovrebbero essere consegnate. La procedura corretta è cambiarli prima del test in qualcosa di unico (stringa casuale), e poi cambiarli di nuovo dopo il test.
Verificare con la propria direzione e chiedere esplicitamente se sono stati firmati accordi di non divulgazione e contratti appropriati.
È normale per un pentest?
Lo scenario come lo hai descritto è insolito, ma non del tutto plausibile. Tutto dipende da cosa esattamente è stato concordato per l'ambito e le attività del test.
Ho pensato che fosse per lo più una scatola nera. Come devo procedere?
Rivolgiti al manager responsabile della firma di questo team pentesting. Il tuo CISO o CSO o responsabile IT o chiunque possa essere. Esprimi le tue preoccupazioni e chiedi se questo approccio è stato concordato.
Fornire password / codice sorgente
Personalmente, non darei password o codice sorgente a nessuno senza un adeguato Firmato NDA. Inoltre, non darei mai e poi mai loro le password effettive. In tutti i pentest in cui sono stato coinvolto, sia come cliente che come project manager (non sono un pentest, ma ho gestito pentesters) c'erano sempre account utente creati per pentest e password cambiate. Consigliamo anche ai nostri clienti di cambiarli dopo che il test è terminato (alcuni non lo fanno, è sempre una triste scoperta per il rapporto successivo).
Forza della password
Quanto a quello che hanno scritto alcune risposte sulla "valutazione della sicurezza della password", è un mucchio di sciocchezze. Sì, esiste una "best practice" sulle buone password, che un tizio ha tirato fuori dal nulla alcuni decenni fa e di cui oggi è terribilmente dispiaciuto. Tutta la matematica sull'argomento è piena di buchi e ipotesi non verificate e molte politiche sulle password riducono effettivamente lo spazio di ricerca invece di ingrandirlo.
L'unico vero test per la sicurezza della password ha due parti: una, ottieni le prime 10.000 password da una delle circa 20 liste che fluttuano su Internet e usale come lista nera. Due, esegui lo stesso software di cracking che usano i malintenzionati (la maggior parte di loro sono software libero) sugli hash delle tue password. Se la tua istanza di John non funziona, lo farà anche la loro.