Ho appena ricevuto una segnalazione di un test di penetrazione e uno dei consigli era di rafforzare le password. Ho comunque realizzato che non sono state fornite password per i tester e volevo scoprire se era possibile determinare la forza di una password senza conoscerla realmente?
Non proprio.
Che cosa può sapere un tester:
Immagino che ci siano due modi in cui sono venuti fuori le informazioni da cui hanno tratto questa conclusione.
net accounts /domain su un computer degli utenti che ha scaricato i requisiti di complessità della password per l'organizzazione (presuppone Windows / Active Directory) Senza ulteriori informazioni è difficile dire come siano arrivati a tale conclusione (non abbiamo idea di cosa abbia fatto la squadra rossa o di cosa si trattasse), ma questi due modi sono come supporre che l'abbiano fatto.
Sì, è possibile.
Le reti Windows potrebbero essere vulnerabili a Null Attacchi di sessione che consentono all'attaccante di elenca i dettagli del sistema :
...gain anonymous access to IPC$. By default, Windows NT family hosts allow anonymous access to system and network information through NetBIOS, so the following can be gleaned:
- User list
- Machine list
- NetBIOS name list
- Share list
- Password policy information
- Group and member list
- Local Security Authority policy information
- Trust information between domains and hosts
Un rapporto di prova della penna appropriato, completo e professionale deve includere tutti i risultati nei dettagli. Dovrebbe elencare non solo come sono venute fuori le loro conclusioni, ma anche quali metodi hanno usato e potenzialmente schermate delle loro prove. In caso contrario, puoi chiedere ulteriori dettagli e sono obbligati a spiegare o fornire i dettagli.
Detto questo, senza ulteriori dettagli, credo che ciò che potrebbero fare è trovare la politica delle password in generale, e sulla base di essa consigliamo di cambiarla o migliorarla, se ritengono che sia debole o incompleta. Anche allora, non possono e non devono presumere che una determinata password utente sia debole solo a causa di tale politica. È possibile che vengano create password complesse o complesse (in alcuni casi) anche con una politica di password non troppo sicura.
La maggior parte dei punti deboli si verifica quando l'utente sceglie una password debole, indipendentemente dalla politica della password in atto.
Ripeti dopo di me: non è possibile determinare la forza della password anche conoscendo la password!
Ancora: Non è possibile determinare la forza della password anche conoscendo la password!
D'altra parte, puoi conoscere i punti di forza della password osservando i tuoi documenti relativi alle norme sulla password. Se il documento relativo alla politica della password non specifica come devono essere generate le password, allora è corretto che tu abbia una politica delle password debole e quindi una debole forza della password.
Un criterio di buona password specifica almeno il requisito di entropia minima per le varie sezioni sicure e il metodo di generazione della password, invece di come dovrebbero apparire superficialmente le password.
Ci possono essere alcune informazioni su come vengono memorizzate le password. ad esempio, guida di Sharity Light , sezione 3, raccomanda di impostare "LmCompatibilityLevel" = dword: 1 "per una maggiore compatibilità, in modo da memorizzare le password in modo meno sicuro.
In questo caso, ciò che l'utente digita non è il problema rilevato. Tuttavia, ciò a cui ci si riferisce è come vengono memorizzate le informazioni sulle credenziali. Modificando tali dettagli di archiviazione, il risultato potrebbe essere ragionevolmente descritto come una modifica che ha "rafforzato le password".
Forza = lunghezza + maiuscole / non tappi + numeri + caratteri speciali
Leggi altre domande sui tag passwords password-cracking