Domanda:
È possibile determinare la forza della password senza conoscere la password?
pi.
2016-07-06 20:31:41 UTC
view on stackexchange narkive permalink

Ho appena ricevuto un rapporto su un test di penetrazione e uno dei consigli era di rafforzare le password. Tuttavia mi sono reso conto che non erano state fornite password per i tester e volevo scoprire se era possibile determinare la forza di una password senza conoscerla effettivamente?

Probabilmente intendono implicare che hanno violato alcune password degli account e che, in generale, la tua politica sulle password è considerata troppo permissiva.
Direi che probabilmente hanno ragione nel 99% delle organizzazioni, quindi potrebbero dirlo a tutti, ogni volta ed essere abbastanza fiduciosi che non verranno quasi mai interrogati al riguardo.
Potresti sempre chiederglielo?
Onestamente, se mi chiedessi "Qual è l'unica cosa che posso fare per rafforzare la sicurezza?"Risponderei, senza esitazione, "Rafforza la tua politica sulle password".È un'affermazione così generale che quasi non possono mai sbagliare.Non importa se stai parlando di dominio, applicazione o apriporta del garage (che ha un pin).È comunque una risposta valida.
@coteyr Alcuni criteri (in particolare criteri per password complesse in combinazione con scadenze brevi) incoraggiano la scrittura delle password: c'è un equilibrio.
Il mio primo pensiero è che abbiano visto un hash della password troppo corto.Se stai memorizzando gli hash delle password e sono lunghi 16 caratteri esadecimali, presumo che tu stia usando il DES orribilmente sconsigliato per fare l'hash.Anche con sale / pepe non sarebbe buono.Naturalmente il mio consiglio sarebbe stato più descrittivo se così fosse.
@Random832, Sono d'accordo, ma non cambia la risposta.
Forse avevano accesso fisico a uno dei computer o c'è un sito Web, dove puoi richiedere un nuovo account utente.Quindi probabilmente ci sarebbe una schermata con i requisiti della password.Lo so, questo potrebbe essere abbastanza stupido e diretto, ma spesso abbastanza stupido funziona bene.
Puoi calcolare quanto tempo impiega il tuo computer per "hackerare" la password.Qualunque cosa al di sotto dei 100 anni è probabilmente troppo debole.
> crittografia omomorfica
@Aron Si spera che tu intenda * stimare * quanto tempo impiegherebbe un computer per "hackerare" la password.Il tempismo sarebbe un lungo esercizio di futilità.:)
@Darthfett se non fosse un esercizio di futilità, l'algoritmo di crittografia è debole.
Sette risposte:
#1
+66
DKNUCKLES
2016-07-06 20:40:21 UTC
view on stackexchange narkive permalink

Immagino che ci siano due modi in cui hanno elaborato le informazioni da cui hanno tratto questa conclusione.

  1. Hanno eseguito il comando net accounts / domain su un computer degli utenti che ha scaricato i requisiti di complessità della password per la tua organizzazione (presuppone Windows / Active Directory)
  2. Hanno forzato (o indovinato) con successo le password degli utenti perché erano deboli. Recenti dump di password come LinkedIn hanno fornito una miniera di password del mondo reale che i pen tester hanno utilizzato sul campo per cercare di decifrare le password.

Senza ulteriori informazioni è difficile dire come siano arrivati ​​a quella conclusione (non abbiamo idea di cosa abbia fatto la squadra rossa o di cosa fosse in campo) ma questi due modi sono come vorrei presumo che lo abbiano fatto.

Oppure potrebbero semplicemente aggiungerlo come bonus.
Oppure hanno creato un account con una password debole e hanno notato che esiste una politica delle password debole
#2
+24
tim
2016-07-06 20:41:29 UTC
view on stackexchange narkive permalink

Non proprio.

Ciò che un tester potrebbe sapere:

  • Criterio password : al momento della registrazione o quando si modifica una password, l'applicazione potrebbe limitare le possibili password , che porta a password deboli. La politica delle password può anche consentire password deboli, ma questo sarebbe un problema separato.
  • Lunghezza password : il tester potrebbe aver ottenuto informazioni sulla lunghezza della password, ad esempio tramite SQL cieco injection e potrebbe non essersi preso la briga di raccogliere la password.
  • La password : il tester potrebbe aver ottenuto l'accesso alle password, ad esempio tramite SQL injection o forzando il login. Ma anche questi problemi dovrebbero essere elencati separatamente.
L'acquisizione della password di SQL injection non dovrebbe essere possibile a meno che non memorizzino le password in testo normale.
+1 per la politica delle password, elimina il resto.
@AzeezahM Saresti sorpreso e probabilmente inorridito da quante aziende fanno esattamente questo.
#3
+13
gowenfawr
2016-07-06 20:44:42 UTC
view on stackexchange narkive permalink

Sì, è possibile.

Le reti Windows potrebbero essere vulnerabili agli attacchi di sessione nulla che consentono all'aggressore di enumerare i dettagli del sistema:

... ottieni accesso anonimo a IPC $. Per impostazione predefinita, gli host della famiglia Windows NT consentono l'accesso anonimo alle informazioni di sistema e di rete tramite NetBIOS, quindi è possibile raccogliere quanto segue:

  • Elenco utenti
  • Elenco macchine
  • Elenco dei nomi NetBIOS
  • Elenco di condivisione
  • Informazioni sui criteri delle password
  • Elenco dei gruppi e dei membri
  • Informazioni sui criteri dell'autorità di sicurezza locale
  • Attendibilità delle informazioni tra domini e host
#4
+13
Zack
2016-07-06 23:44:24 UTC
view on stackexchange narkive permalink

Un report di Pen test appropriato, completo e professionale deve includere tutti i risultati nei dettagli. Dovrebbe elencare non solo come sono arrivati ​​alle loro conclusioni, ma anche quali metodi hanno utilizzato e potenzialmente screenshot delle loro prove. In caso contrario, puoi richiedere ulteriori dettagli e sono obbligati a spiegare o fornire i dettagli.

Detto questo, senza ulteriori dettagli, credo che quello che potrebbero fare sia trovare la politica delle password in generale, e sulla base di essa consigliare di cambiarla o migliorarla, se ritengono che sia debole o incompleta. Anche in questo caso, non possono e non devono presumere che una determinata password utente sia debole solo a causa di tale politica. Le password complesse o complesse potrebbero comunque essere create (in alcuni casi) anche con una policy sulle password non così efficace.

La maggior parte dei punti deboli si verifica quando l'utente sceglie una password debole, indipendentemente dalla politica della password in atto.

#5
+2
Lie Ryan
2016-07-08 07:41:19 UTC
view on stackexchange narkive permalink

Ripeti dopo di me: non è possibile determinare la sicurezza della password anche conoscendo la password!

Ancora: Non è possibile determinare la forza della password anche conoscendo la password!

D'altra parte, puoi conoscere i punti di forza delle password esaminando i documenti relativi alla politica delle password. Se il documento sulla politica delle password non specifica come devono essere generate le password, allora è corretto che tu abbia una politica delle password debole e quindi una forza della password debole.

Una buona politica delle password specifica almeno il requisito minimo di entropia per il varie sezioni sicure e il metodo di generazione della password, invece di come dovrebbero apparire superficialmente le password.

Uh, una password consapevolmente debole non è valida indipendentemente da tutti gli altri fattori, inclusi ma non limitati alla politica delle password stessa.
Se alcune password effettive sono deboli, ovviamente la politica delle password consente password deboli.(Ovviamente non conosciamo la forza media della password.)
@techraf: la parola "pari" è nel contesto in cui OP pensa che sarebbe necessario conoscere la password per conoscere la forza della password.Questo non è vero.Conoscere le password in realtà non ti dà molte informazioni sulla forza di quelle password, tranne in alcuni casi molto banali.L'unico modo per calcolare la forza della password è guardare al metodo di generazione, non al risultato della generazione della password.Dopo aver specificato come generare le password, il resto è solo una questione di conformità.
Se le password non sono salate correttamente, una tabella arcobaleno di password deboli consentirebbe di determinare la forza di una password sconosciuta dall'hash :)
#6
  0
TOOGAM
2016-07-06 21:58:12 UTC
view on stackexchange narkive permalink

Possono essere presenti alcune informazioni su come vengono memorizzate le password. ad es. Guida Sharity Light , sezione 3, consiglia di impostare "LmCompatibilityLevel" = dword: 1 "per una maggiore compatibilità. Ciò fa sì che le password vengano memorizzate in un modo meno sicuro.

In questo caso, ciò che l'utente digita non è il problema rilevato. Tuttavia, ciò a cui si fa riferimento è il modo in cui vengono archiviate le informazioni sulle credenziali. Modificando tali dettagli di archiviazione, il risultato potrebbe essere ragionevolmente descritto come una modifica che ha "rafforzato le password".

#7
-4
user116917
2016-07-07 22:13:13 UTC
view on stackexchange narkive permalink

Forza = lunghezza + maiuscole / non maiuscole + numeri + caratteri speciali

Tuttavia, conoscerli richiede di conoscere la password.Potresti controllare la politica delle password, ma molte altre risposte lo hanno già menzionato.
Inoltre, @BenN, dovresti sapere quale password * specifica * aveva come lunghezza, lettere, cifre e caratteri.Questa risposta * solo * verifica la forza del criterio, non le password effettive.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...