Come rompere le password senza rivelarle?

3

Vorrei verificare la presenza di password deboli (vengono scaricate da Active Directory) senza realmente vedere la password (*) . Devo solo sapere che un determinato nome utente ha una password debole e informarlo di conseguenza.

John the Ripper sarebbe la mia prima scelta ma non ho trovato il modo di elencare solo i conti incrinati.

Potrei analizzare il file dei risultati per estrarre i nomi utente, ma questo lascia aperta la possibilità di vedere una password (inavvertitamente, inviando un SIGHUP al processo ecc.)

Esiste una funzionalità di John the Ripper che potrebbe essere utilizzata? (non l'ho vista nel docs )

In alternativa: esistono software di cracking con tale funzionalità che potrebbero essere utilizzati al loro posto?

(*) Questo è principalmente il seguire le normative UE sulla privacy che non sono solo restrittive, ma variano anche da paese a paese. Questo è anche il motivo per cui sto cercando una soluzione a prova di proiettile.

    
posta WoJ 23.09.2016 - 10:09
fonte

4 risposte

3

Non sono un avvocato e la mia risposta presuppone che tu sia in un contesto professionale, nel senso che ciò che stai tentando di crackare è un account professionale dato da un'organizzazione ai suoi dipendenti. Poiché la sicurezza generale dell'organizzazione potrebbe essere indebolita da password scadenti, penso che possa chiedere ai suoi dipendenti di utilizzare password non troppo deboli . Non conosco un modo tecnico per rivelare l'account con password deboli senza divulgare la password, quindi utilizzerei una procedura più di 2 occhi :

  • almeno 2 persone (un amministratore tecnico e un senior manager) devono essere coinvolti nell'operazione, ognuno controllando ciò che fa l'altro
  • esegui john in questo modo (supponendo un sistema Unix o Linux):

    john password_file > /dev/null 2>&1
    john --show password_file | sed -e 's/:.*//' > user_list.txt
    rm ~/.john/john.pot
    

Il file user_list.txt conterrà solo il nome degli utenti per i quali la password è stata scoperta da John The Ripper, ma nessuna delle persone che la esegue ha mai visto alcuna password.

    
risposta data 23.09.2016 - 12:17
fonte
2

La tua azienda impone modifiche periodiche alle password? In tal caso, quando la modifica della password avviene, potresti semplicemente applicare le regole di trasformazione e la lista di parole che avrebbe avrebbe usato con John the Ripper o HashCat o qualsiasi altra cosa, ma invece di crackare un hash prova a derivare il testo in chiaro nuovo password creata come parte di (o di tutti) i nuovi assegni di convalida della password.

    
risposta data 23.09.2016 - 14:31
fonte
1

Potresti scrivere un piccolo wrapper python analizzando l'output di JTR e stampando solo ciò che vuoi stampare su stdout. Questo sarebbe il trucco che credo.

    
risposta data 23.09.2016 - 11:35
fonte
0

È possibile scaricare un elenco di parole, creare hash per ogni parola e archiviare gli hash in un database. Quindi informa le persone che hanno i loro hash all'interno del database.

O crea una politica per le password e chiedi a tutti di cambiare la loro password.

    
risposta data 23.09.2016 - 17:49
fonte

Leggi altre domande sui tag