drumuu
Goto Top

Passwörter Herausfinden - Nur nicht so wie Ihr jetzt denkt

Sooo... Hallöchen zusammen...

Das hier ist mein erster Beitrag im Forum, bitte verreißt ihn nicht :o)

Ich schreibe im Moment an einer Studienarbeit zum Thema IT-Sicherheit und soll bei meinem Unternehmen (ist ein Duales Studium mit Ausbildungsvertrag) analysieren, was stand der Dinge ist, und eventuell verbessert werden kann.

Da ja niemand die Passwörter so direkt auslesen kann, und unsere User nicht so doof sind, mir die Dinger per mail mitzuteilen wollte ich fragen, ob es irgend eine Software, die die Passwörter knackt zu beurteilt o h n e Sie mir mitzuteilen.
Quasi ein Angriff ohne Ergebnis.
Ich will nur eine Beurteilung, ob die Passwörter im Schnitt sicher / unsicher sind. Eventuell auch noch mit begründung. Sowas wie auf dieser Seite hier:

http://www.acctis.com/password_strength.asp?loc=ge

Nur eben ohne dass jeder sein Passwort eingeben muss.

Problematisch ist, dass bei uns nach der 3. Fehleingabe des Passworts der Login gesperrt wird. Ich kenne mich mit Angriffen aber nicht soweit aus, als dass ich beurteilen kann ob das ein Problem darstellt oder nicht.

Weils so wichtig ist und es vllt jemand überlesen hat ;) Ich will die Passwörter n i c h t wissen! Geht mich ja nichts an... und höchstens mit der Einschränkung kann ich das meinem IT-Leiter verkaufen.

Wenns sowas nicht gibt... hm... dann werde ich wohl ein paar Stichproben ziehn, die Leute per Mail anschreiben. Die müssen mir dann halt ihr ergebnis zumailen... oder so.

So... falls Ihr bis hierher durchgehalten habt: Erstmal danke und meinen Respekt... Ich bin nicht so der begnadete Schreiberling ;) Ich hoffe man konnte es trotz allem verstehen.

Grüße

Lukas

Content-ID: 70613

Url: https://administrator.de/contentid/70613

Ausgedruckt am: 13.11.2024 um 00:11 Uhr

39916
39916 10.10.2007 um 16:03:53 Uhr
Goto Top
Hi,

unter meinen Linux-Servern lasse ich mehr oder weniger regelmäßig "John, the Ripper" laufen. Wenn er ein Passwort knackt, dann bekommt der User automatisch eine Mail mit seinem Passwort und der Aufforderung, es umgehend zu ändern.

Gibt's glaube ich auch für Windows.

Gruß,

Martin
Drumuu
Drumuu 10.10.2007 um 16:34:05 Uhr
Goto Top
Danke für die schnelle Antwort = )

Klingt prinzipiell nicht schlecht.

Wir haben Novell- und Windows server, wobei die User-DB auf den Novell Servern liegt... glaube ich zumindest ( hoffe ich erzähl jetzt grad keinen Stuss)

Kann das Programm auch Auswertungen liefern? Ich bräuchte halt mehr oder weniger ne Statistik die ich für eine Auswertung der PW-Sicherheit verwenden kann. Die Möglichkeit mit den Passwörtern ist super, werd ich, wenn ich unsern Admin (wir ham nur einen, so groß sind wir nicht ;) ) löchere, auch mal als generelle Überprüfungsmethode ansprechen.

Das ergibt keine Probleme mit der Falscheingaben-Regel, die nach 3maliger Falscheingabe sperrt, oder? (läuft ja, wie du sagst auf dem Server und nicht am Client)

Gruß

Lukas
39916
39916 10.10.2007 um 16:40:07 Uhr
Goto Top
Nein, sperren kannst Du damit nichts. Das Ding liest nur die Hashwerte aus und errechnet daraus das Passwort. Statistik würde ich so führen, indem Du Dir eine Benachrichtigung zukommen lässt, dass ein PW erkannt wurde.

Gruß,

Martin
olibln68
olibln68 10.10.2007 um 16:50:06 Uhr
Goto Top
Hmmmm........du könntest dir ja mal folgendes Produkt etwas näher anschauen:

http://www.gfi.com/lannetscan/lanscanfeatures.htm

Das ganze nennt sich LanGuard und scant unter vielem anderen auch nach "weak passwords". Eine 30 Tage Eval Version sollte ja für dich ausreichend sein, oder ?


Gruß

Oliver
Drumuu
Drumuu 10.10.2007 um 18:19:54 Uhr
Goto Top
Ui... ich werd beides mal runterladen, mir anschauen, und wenn ich das Ganze dann auch noch nutzen d a r f (daran hängts atm), berichte ich wies lief...


Ihr habt mir auf jeden Fall schon mal sehr geholfen, dankeschön = )
gnarff
gnarff 11.10.2007 um 01:42:01 Uhr
Goto Top
Hallo Lukas!

Bei Deinem Vorhaben wird es Dir wohl nicht erspart bleiben Kenntnis von den Passwörtern zu erhalten. Um die Passwortstaerke bewerten zu können musst Du diese ja zunächst haben.

Um in den Besitz der Passwörter zu kommen, empfehle ich ##ZENSIERT## zu benutzen. Nicht nur weil ophcrack idiotensicher zu konfigurieren ist, sondern auch weil unten im Taskfenster die Zeit angegeben wird, die benötigt wurde um die Passwörter zu ermitteln; was ein erster Anhaltspunkt für die Güte sein kann.

Das der Login nach drei Fehlversuchen gesperrt wird ist völlig unerheblich, da Du ja auf das SAM File zugreifst ohne dabei eingeloggt sein zu müssen.

Ich halte nicht viel von diesen Passwortstrength-Checkern, hier findest Du ein Password Strength Meter, in JavaScript ausgeführt zum Download

Eine genaue Bewertung gibt Dir das Tool aber nicht, dazu musst du Dich schon in die verfügbare Fachliteratur zum Thema einlesen und Deine eigene Schluesse ziehen, hier das Dokument Password Standard der Virginia Commonwealth University, zum warm machen...

saludos
gnarff
parteyspeaka
parteyspeaka 11.10.2007 um 15:14:40 Uhr
Goto Top
Also mal nen Einwand von mir. Egal wie deine Studie ausfallen sollte würde ich Passwörter schon so sicherer machen indem ich bei den Passwortrichtlinien eine Mindestlänge, Anzahl von Sonderzeichen und von Zahlen festlege falls das nicht schon geschehen ist. Viel mehr lässt sich danach sowieso nicht mehr machen.

Ansonsten kann ich auch nur das LanGuard empfehlen, hab damals sehr gut gearbeitet um bei mir die Richtlinien anzupassen. Sprich Nutzerfreundlichkeit bei guten Maß an Sicherheit.

mfg partey
snBandit
snBandit 11.10.2007 um 16:04:02 Uhr
Goto Top
Die guten Passwörter .... ;)

Die Frage ist, welche Daten Du für Deine Studienarbeit auswerten willst ...

Generell läßt sich sagen :

  • alle Systempasswörter sind überhaupt nicht sicher (CIA - Commander läßt grüssen ;P)
(nur sinnvoll, wenn man kurz den Arbeitsplatz verläßt...)

  • besser sind BIOS - Passwörter , weil ... sie unterbinden den Zugriff auf die Peripherie (CD/DVD -ROM ,USB u.s.w.)

Hatte mal ne Statistik gelesen:

  • 4 von 5 Angriffen werden erst gar nicht erkannt
  • 60 % der erkannten Angriffe gehen auf eigene Mitarbeiter zurück
  • 80 % der User verwenden zu kurze oder leicht erratbare Passwörter
  • 15 % der User verwenden erst gar kein Passwort
  • 3 % der User verwenden sehr sichere Passwörter ( vergessen diese aber ... )
  • weniger als 2% haben wirklich sichere Passwörter

soviel dazu ...

  • Hauptangriffspunkt sind meistens Werkseinstellungen !!! (Default-Settings)

... so ... viel Glück beim Studium ;)

Mfg snBandit
gnarff
gnarff 11.10.2007 um 16:41:55 Uhr
Goto Top

Generell läßt sich sagen :

  • alle Systempasswörter sind
überhaupt nicht sicher (CIA - Commander
läßt grüssen ;P)
(nur sinnvoll, wenn man kurz den
Arbeitsplatz verläßt...)

Das ist Unfug, da eine Produktionsumgebung zumeist von einem Server verwaltet wird und da hilft Dir Dein CIA Commander herzlich wenig...

  • besser sind BIOS - Passwörter , weil
... sie unterbinden den Zugriff auf die
Peripherie (CD/DVD -ROM ,USB u.s.w.)

Wieder falsch, mit BIOS Passwoerten wird der Zugriff auf die BIOS-Einstellungen restringiert; sonst nichts. Zugriffe auf die Peripherie unterbindet man mit Gruppenrichtlinien oder physisch.

  • Hauptangriffspunkt sind meistens
Werkseinstellungen !!! (Default-Settings)

Auch falsch, weil ein gut geschulter Admin die Defaultpasswoerter ändert.
Der Hauptangriffspunkt bei einem Passwort ist das Passwort selbst, dessen Chiffrat bzw. die Datenbank, in der es abgelegt worden ist...

Zum Einlesen:
1. Password
2. Password strength
3. Password policy
4. Password Management Best Practices
...mit vielen nützlichen Links in den Footern.

saludos
gnarff
Drumuu
Drumuu 11.10.2007 um 16:55:51 Uhr
Goto Top
Aaaalso...

Generell will ich für die Studienarbeit unsere eigene IT-Sicherheit bewerten, sprich: was haben wir, was ließe sich besser machen, usw.

Wir haben getrennte Passwörter für unsere Groupware und den Login von Novell / Windows. Das Problem ist: Die Groupware Passwörter muss ich ohnehin nicht untersuchen. Die unterliegen keiner Policy, es ist nicht festgelegt dass man sie ändern muss, keine Zeichenregelung… naja, ich könnte 123 als Passwort festlegen und es würde keinen stören.

Was ich damit Sagen will: Ich habe über die meisten Sachen schon genug zu „meckern“. Was ich halt gern noch als Gimmick hätte, wäre eine Auswertung der Windows/Novell-passwörter á la:

Eine Auswertung der von den Usern festgelegten Passwörtern ergab dass:
65 % der Passwörter zu kurz sind.
43 % der Passwörter enthalten weder Zahlen noch Sonderzeichen
10 % der Passwörter enthalten keine Sonderzeichen
73 % der Passwörter konnten über ein Wörterbuch ermittelt werden

Sowas in der Art, was diese Passwort Prüfer eben auch machen. Ja, ich weiß dass das nicht viel bringt… aber es sieht schön aus und verdeutlicht, warum (da wette ich alles drauf) die Passwörter unserer User einem Hacker nichts entgegensetzen, was bedeutet, dass wir eine bessere Unternehmenspolitik zur Vergabe von Passwörtern brauchen.

BIOS- Passwörter werde ich für unsere Notebook-User vorschlagen, bei den Desktop Usern ist es schwieriger, weil wir Springer haben. Und ein Passwort, dass jeder kennt, ist kein Passwort. Social Engineering und ehemalige Mitarbeiter mit Groll auf die Firma lassen grüßen =)

Im Laufe der Studienarbeit hab ich inzwischen sowieso den Eindruck dass unser Schutzwall gegen aussen eh mehr ausschaut wie die Mauer nach dem 9. November 1989…


Ach ja face-smile Die Statistik

Hatte mal ne Statistik gelesen:

          • 4 von 5 Angriffen werden erst gar nicht erkannt
          • 60 % der erkannten Angriffe gehen auf eigene Mitarbeiter zurück
          • 80 % der User verwenden zu kurze oder leicht erratbare Passwörter
          • 15 % der User verwenden erst gar kein Passwort
          • 3 % der User verwenden sehr sichere Passwörter ( vergessen diese aber ... )
          • weniger als 2% haben wirklich sichere Passwörter

ist natürlich auch absolut genial xD

Das Problem ist, dass ich für sowas immer Belege brauche, ums verwenden zu können.

Danke nochmal für die vielen Antworten =)
gnarff
gnarff 11.10.2007 um 17:37:12 Uhr
Goto Top
Damals gab es das Tool l0stat um Statistiken betreffend der Passwortsicherheit zu erstellen, leider ist l0stat niemals auf Windows 2003 Server portiert worden sondern unterstützt nur Win95, Win98, WinNT 3.x, WinNT 4.x, WinXP, Windows2000.
Andererseits wäre es einen Versuch wert ob es nicht auch unter Windows 2003 Server läuft.

[Update 12/10/07: Das ist natürlich ausgemachter Blödsinn, was ich da bezüglich Windows 2003 Server geschrieben hatte, da die SAM Datenbank offline ausgewertet wird und dies kann man mit l0stat natuerlich auch auf einem XP-Rechner durchführen -sry!]

Die mit l0stat erzeugten Reports sind hier abgebildet
Zum Download und weitere Information

Ich nehme mal an, das ist, was Du gesucht hast...

saludos
gnarff
snBandit
snBandit 15.10.2007 um 13:44:40 Uhr
Goto Top
@gnarff

Bitte nochmal GENAU !!! nachlesen, was geschrieben wurde. Sofern in Deiner tollen Produktionsumgebung auch nur ein einziges CD/DVD - Laufwerk zugänglich ist, mache ich Dir aus Deinem Server und Deinen GPO's ne simple Schreibmaschine. Deswegen BIOS-Passwörter, welche den Zugriff auf diese phys. Laufwerke unterbindet. Das Ganze aber auf lokaler NICHT auf globaler Ebene. Denn wie willst Du Zugang zu Deiner Produktionsumgebung erlangen, wenn Dein Account oder Passwort nicht mehr existiert???

Gruß snBandit
gnarff
gnarff 15.10.2007 um 15:47:52 Uhr
Goto Top

Bitte nochmal GENAU !!! nachlesen, was
geschrieben wurde. Sofern in Deiner tollen
Produktionsumgebung auch nur ein einziges
CD/DVD - Laufwerk zugänglich ist, mache
ich Dir aus Deinem Server und Deinen
GPO's ne simple Schreibmaschine.

Aber nicht mit CIA-Commander...

Deswegen BIOS-Passwörter, welche den
Zugriff auf diese phys. Laufwerke
unterbindet. Das Ganze aber auf lokaler NICHT
auf globaler Ebene.

BIOS-Passwörter stellen, wie gesagt, keinen ausreichenden Schutz dar.
Wenn es denn überhaupt ein global vergebenes BIOS-Passwort gibt, dann ist es das Masterpasswort.
Ein Biospasswort zu umgehen, ist einfach.
Sich auf ein Biospasswort verlassen zu wollen ist nur dann sinnvoll, wenn man den Rechner gegen einen möglichen Reboot und Eingriffe in die Hardware schützen kann; und was noch viel schlimmer ist, ein derartiger Manipulationsversuch entzieht sich den Augen des Admins- lässt sich nicht überwachen.

Ich stelle mir nun eine Produktionsumgebung von 1000 Clients vor und von diesen sollen nun, zum Beispiel 100 Mitglieder in einem abteilungsuebergreifenden Entwicklungsteam die Berechtigung erhalten CD oder USB Laufwerke benutzen zu können. Da setzt sich der Admin dann auf sein Klapprad und radelt durch die Abteilungen um überall mal kurz von Hand die Berechtigungen einzurichten; sehr schöner Gedanke.

Biospasswörter stellen keinen ausreichenden Schutz da und lassen sich auch nicht zentral verwalten.
Laufwerke, wie oben genannt, baut man aus, verbietet deren Benutzung über eine Richtlinie oder verwendet gleich Terminalclients.
Biospasswoerter sind eine nette Spielerei, ein kleiner Baustein in einem ganzheitlich zu betrachtenden Sicherheitsprozess...

GENAU lesen hilft meistens...

saludos
gnarff
gnarff
gnarff 16.11.2007 um 17:57:15 Uhr
Goto Top
IN DIESEM THREAD WURDEN KOMMENTARE ODER INFORMATIONEN WEGEN NEUER GESETZESLAGE ZENSIERT ODER GELOESCHT[ gnarff / el moderador]