Question:
Est-il possible de déterminer la force du mot de passe sans connaître le mot de passe?
pi.
2016-07-06 20:31:41 UTC
view on stackexchange narkive permalink

Je viens de recevoir un rapport sur un test de pénétration et l’une des recommandations était de renforcer les mots de passe. J'ai cependant réalisé qu'aucun mot de passe n'était fourni pour les testeurs, et je voulais savoir s'il était possible de déterminer la force d'un mot de passe sans réellement connaître ce mot de passe?

Ils signifient probablement qu'ils ont cassé certains mots de passe de compte et qu'en général, votre politique de mot de passe est considérée comme trop laxiste.
Je dirais qu'ils ont probablement raison dans 99% des organisations, alors ils pourraient simplement dire cela à tout le monde, à chaque fois et être assez confiants qu'ils ne seront presque jamais interrogés à ce sujet.
Vous pouvez toujours leur demander?
Honnêtement, si vous me demandez "Quelle est la seule chose que je peux faire pour renforcer la sécurité?"Je répondrais sans hésitation: «Renforcez votre politique de mot de passe».C'est une telle déclaration générale qu'ils ne peuvent presque jamais se tromper.Peu importe si vous parliez d'un domaine, d'une application ou d'un ouvre-porte de garage (qui a une épingle).C'est toujours une réponse valable.
@coteyr Certaines politiques (en particulier les politiques de mot de passe strictes combinées à de courts calendriers d'expiration) encouragent l'écriture des mots de passe - il y a un équilibre.
Ma première pensée est qu'ils ont vu un hachage de mot de passe trop court.Si vous stockez des hachages de mots de passe et qu'ils contiennent 16 caractères hexadécimaux, je suppose que vous utilisez le DES horriblement non recommandé pour faire le hachage.Même avec du sel / poivre, ce ne serait pas bon.Bien sûr, mon conseil aurait été plus descriptif si tel avait été le cas.
@Random832, Je suis d'accord, mais cela ne change pas la réponse.
Ils ont peut-être eu un accès physique à l'un des ordinateurs ou à un site Web sur lequel vous pouvez demander un nouveau compte utilisateur.Ensuite, il y aurait probablement un écran avec les exigences de mot de passe.Je sais, cela peut être assez stupide et simple, mais souvent assez stupide fonctionne bien.
Vous pouvez chronométrer le temps que met votre ordinateur pour «pirater» le mot de passe.Tout ce qui est inférieur à 100 ans est probablement trop faible.
> cryptage homomorphe
@Aron J'espère que vous voulez dire * estimer * combien de temps un ordinateur prendrait pour «pirater» le mot de passe.Le timing serait un long exercice de futilité.:)
@Darthfett si ce n'était pas un exercice futile, alors l'algo de chiffrement est faible.
Sept réponses:
DKNUCKLES
2016-07-06 20:40:21 UTC
view on stackexchange narkive permalink

Je suppose qu'il y a deux façons dont ils ont trouvé les informations dont ils ont tiré cette conclusion.

  1. Ils ont exécuté la commande net accounts / domain sur l'ordinateur d'un utilisateur qui a vidé les exigences de complexité des mots de passe pour votre organisation (suppose Windows / Active Directory)
  2. Ils ont réussi à brouiller les mots de passe utilisateur forcés (ou devinés) parce qu'ils étaient faibles. Les vidages de mots de passe récents comme LinkedIn ont fourni une mine de mots de passe réels que les testeurs de stylos utilisent sur le terrain pour essayer de déchiffrer les mots de passe.

Sans plus d'informations, il est difficile de dire comment ils sont arrivés à cette conclusion (nous n'avons aucune idée de ce que l'équipe rouge a fait ou de ce qui était dans la portée), mais ces deux façons sont comment je le ferais suppose qu'ils l'ont fait.

Ou ils pourraient simplement l'ajouter en bonus.
Ou ils ont créé un compte avec un mot de passe faible et ont remarqué qu'il existe une politique de mot de passe faible
tim
2016-07-06 20:41:29 UTC
view on stackexchange narkive permalink

Pas vraiment.

Ce qu'un testeur peut savoir:

  • Politique de mot de passe : lors de l'inscription ou lors de la modification d'un mot de passe, l'application peut restreindre les mots de passe possibles , conduisant à des mots de passe faibles. La politique de mot de passe peut également autoriser les mots de passe faibles, mais ce serait un problème distinct.
  • Longueur du mot de passe : le testeur peut avoir obtenu des informations sur la longueur du mot de passe, par exemple via SQL aveugle injection, et peut ne pas avoir pris la peine de recueillir le mot de passe.
  • Le mot de passe : Le testeur peut avoir obtenu l'accès aux mots de passe, par exemple via l'injection SQL ou via le bruteforcing de la connexion. Mais ces problèmes doivent également être répertoriés séparément.
La capture de mot de passe par injection SQL ne devrait pas être possible à moins qu'ils ne stockent les mots de passe en texte brut.
+1 pour la politique de mot de passe, supprimez simplement le reste.
@AzeezahM Vous seriez surpris et probablement horrifié par le nombre d'entreprises qui font exactement cela.
gowenfawr
2016-07-06 20:44:42 UTC
view on stackexchange narkive permalink

Oui, c'est possible.

Les réseaux Windows peuvent être vulnérables aux attaques Null Session qui permettent à l'attaquant d'énumérer les détails du système:

... obtenir un accès anonyme à IPC $. Par défaut, les hôtes de la famille Windows NT autorisent l'accès anonyme aux informations système et réseau via NetBIOS, de sorte que les éléments suivants peuvent être glanés:

  • Liste d'utilisateurs
  • Liste de machines
  • Liste de noms NetBIOS
  • Liste de partage
  • Informations sur la stratégie de mot de passe
  • Liste des groupes et membres
  • Informations sur la stratégie de l'autorité de sécurité locale
  • Faire confiance aux informations entre les domaines et les hôtes
Zack
2016-07-06 23:44:24 UTC
view on stackexchange narkive permalink

Un rapport de test Pen approprié, complet et professionnel doit inclure tous les résultats en détail. Il devrait énumérer non seulement comment ils sont arrivés à leurs conclusions, mais aussi les méthodes qu'ils ont utilisées et éventuellement des captures d'écran de leurs preuves. Sinon, vous pouvez demander plus de détails et ils sont tenus d'expliquer ou de fournir les détails.

Cela dit, sans plus de détails, je pense que ce qu'ils pourraient faire est de trouver la politique de mot de passe en général, et sur la base de cela, ils conseillent de la changer ou de l'améliorer, s'ils pensent qu'elle est faible ou incomplète. Même dans ce cas, ils ne peuvent pas et ne doivent pas supposer qu'un mot de passe utilisateur donné est faible uniquement à cause de cette politique. Des mots de passe complexes ou forts peuvent encore être créés (dans certains cas) même avec une politique de mot de passe pas si forte.

La plupart des faiblesses se produisent lorsque l'utilisateur choisit un mot de passe faible, quelle que soit la politique de mot de passe en place.

Lie Ryan
2016-07-08 07:41:19 UTC
view on stackexchange narkive permalink

Répétez après moi: il n'est pas possible de déterminer la force du mot de passe même en connaissant le mot de passe!

Encore une fois: Il n'est pas possible de déterminer la force du mot de passe même en connaissant le mot de passe!

D'autre part, vous pouvez connaître la force des mots de passe en consultant vos documents de politique de mot de passe. Si votre document de politique de mot de passe ne spécifie pas comment les mots de passe doivent être générés, alors ils sont corrects que vous avez une politique de mot de passe faible et donc une force de mot de passe faible.

Une bonne politique de mot de passe spécifie au moins l'exigence d'entropie minimale pour le diverses sections sécurisées et la méthode de génération de mot de passe, au lieu de l'apparence superficielle des mots de passe.

Euh, un mot de passe sciemment faible n'est pas bon indépendamment de tous les autres facteurs, y compris mais sans s'y limiter la politique de mot de passe elle-même.
Si certains mots de passe réels sont faibles, la politique de mot de passe autorise évidemment les mots de passe faibles.(Bien sûr, nous ne connaissons pas la force moyenne du mot de passe.)
@techraf: le mot «même» est dans le contexte que OP pense que vous auriez besoin de connaître le mot de passe pour connaître la force du mot de passe.C'est faux.Connaître les mots de passe ne vous donne pas vraiment beaucoup d'informations sur la force de ces mots de passe, sauf dans certains cas très triviaux.La seule façon de calculer la force du mot de passe consiste à examiner la méthode de génération et non le résultat de la génération du mot de passe.Une fois que vous avez spécifié comment générer des mots de passe, le reste n'est qu'une question de conformité.
Si les mots de passe ne sont pas correctement salés, une table arc-en-ciel de mots de passe faibles permettrait de déterminer la force d'un mot de passe inconnu à partir du hachage :)
TOOGAM
2016-07-06 21:58:12 UTC
view on stackexchange narkive permalink

Il peut y avoir des informations sur la façon dont les mots de passe sont stockés. par exemple, Guide Sharity Light , section 3, recommande de définir "LmCompatibilityLevel" = dword: 1 "pour une meilleure compatibilité. Cela entraîne le stockage des mots de passe de manière moins sécurisée.

Dans ce cas, ce que l'utilisateur tape n'est pas le problème détecté. Cependant, il s'agit de la manière dont les informations d'identification sont stockées. En modifiant ces informations de stockage, le résultat pourrait raisonnablement être décrit comme un changement qui a "renforcé les mots de passe".

user116917
2016-07-07 22:13:13 UTC
view on stackexchange narkive permalink

Force = longueur + majuscules / non-majuscules + chiffres + caractères spéciaux

Pour les connaître, il faut cependant connaître le mot de passe.Vous pouvez vérifier la politique de mot de passe, mais plusieurs autres réponses l'ont déjà mentionné.
Plus que cela, @BenN, vous auriez à savoir ce que chaque mot de passe * spécifique * avait comme longueur, lettres, chiffres et caractères.Cette réponse teste * seulement * la force de la politique, pas les mots de passe réels.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...