Stavo pensando ieri sera dopo aver letto un articolo sui test delle penne e sui controlli di sicurezza, perché dovresti ottenere un elenco di tutte le password per la società che stai audendo e metterle in un software da analizzare?
Non si otterrebbe un elenco di tutte le password. Qualsiasi azienda che potrebbe o vorrebbe produrre una cosa del genere fallirebbe ogni ragionevole controllo di sicurezza.
Potresti ottenere un elenco di tutti gli hash delle password che potrebbero essere eseguiti attraverso uno strumento che tenta di determinare quale sia la password. La facilità con cui gli hash delle password possono essere risolti e i tipi di password che sono stati rotti sarà una buona guida per capire quali criteri di complessità delle password devono essere affrontati. Se, ad esempio, sei in grado di decifrare la metà degli hash delle password perché gli utenti inseriscono 6 password di caratteri che utilizzano tutte le lettere minuscole, probabilmente ti consigliamo di aumentare la lunghezza minima e imporre alcuni requisiti sull'uso delle lettere maiuscole , numeri, segni di punteggiatura e altri caratteri.
Per verificare le password potenzialmente deboli che possono essere facilmente decifrate da un utente malintenzionato.
Ciò potrebbe fornire un'indicazione sullo stato della politica della password della società in questione, che potrebbe essere un problema in determinate circostanze.
Se sono state trovate molte password deboli, il pen tester potrebbe suggerire all'azienda di modificare e applicare una politica di password migliore.
Naturalmente, non vedo alcun motivo per chiedere all'azienda di consegnare un elenco di password. Forse potrebbe essere un elenco di password trovate dopo aver compromesso un database utente o un file shadow di Linux.
Se lo fai dallo stesso numero IP e per l'account root e hai il firewall spento e sshd avviato - questo è sicuramente pericoloso: -)
ps. Le password non dovrebbero essere usate in testo normale, dovrebbero essere memorizzate solo nella memoria degli utenti. Gestire elenchi di password degli utenti sarebbe seriamente inutile.
La cosa migliore è applicare una buona politica sulla modifica della password e farla scadere, così dopo che gli utenti saranno invitati a cambiare la password, così saprai che è tutto a posto e che le password sono forti. E dovrebbero essere immagazzinati come hash salato, preferibilmente 100.000 volte hash.
Leggi altre domande sui tag passwords audit password-management