Passwörter Herausfinden - Nur nicht so wie Ihr jetzt denkt
Sooo... Hallöchen zusammen...
Das hier ist mein erster Beitrag im Forum, bitte verreißt ihn nicht :o)
Ich schreibe im Moment an einer Studienarbeit zum Thema IT-Sicherheit und soll bei meinem Unternehmen (ist ein Duales Studium mit Ausbildungsvertrag) analysieren, was stand der Dinge ist, und eventuell verbessert werden kann.
Da ja niemand die Passwörter so direkt auslesen kann, und unsere User nicht so doof sind, mir die Dinger per mail mitzuteilen wollte ich fragen, ob es irgend eine Software, die die Passwörter knackt zu beurteilt o h n e Sie mir mitzuteilen.
Quasi ein Angriff ohne Ergebnis.
Ich will nur eine Beurteilung, ob die Passwörter im Schnitt sicher / unsicher sind. Eventuell auch noch mit begründung. Sowas wie auf dieser Seite hier:
http://www.acctis.com/password_strength.asp?loc=ge
Nur eben ohne dass jeder sein Passwort eingeben muss.
Problematisch ist, dass bei uns nach der 3. Fehleingabe des Passworts der Login gesperrt wird. Ich kenne mich mit Angriffen aber nicht soweit aus, als dass ich beurteilen kann ob das ein Problem darstellt oder nicht.
Weils so wichtig ist und es vllt jemand überlesen hat ;) Ich will die Passwörter n i c h t wissen! Geht mich ja nichts an... und höchstens mit der Einschränkung kann ich das meinem IT-Leiter verkaufen.
Wenns sowas nicht gibt... hm... dann werde ich wohl ein paar Stichproben ziehn, die Leute per Mail anschreiben. Die müssen mir dann halt ihr ergebnis zumailen... oder so.
So... falls Ihr bis hierher durchgehalten habt: Erstmal danke und meinen Respekt... Ich bin nicht so der begnadete Schreiberling ;) Ich hoffe man konnte es trotz allem verstehen.
Grüße
Lukas
Das hier ist mein erster Beitrag im Forum, bitte verreißt ihn nicht :o)
Ich schreibe im Moment an einer Studienarbeit zum Thema IT-Sicherheit und soll bei meinem Unternehmen (ist ein Duales Studium mit Ausbildungsvertrag) analysieren, was stand der Dinge ist, und eventuell verbessert werden kann.
Da ja niemand die Passwörter so direkt auslesen kann, und unsere User nicht so doof sind, mir die Dinger per mail mitzuteilen wollte ich fragen, ob es irgend eine Software, die die Passwörter knackt zu beurteilt o h n e Sie mir mitzuteilen.
Quasi ein Angriff ohne Ergebnis.
Ich will nur eine Beurteilung, ob die Passwörter im Schnitt sicher / unsicher sind. Eventuell auch noch mit begründung. Sowas wie auf dieser Seite hier:
http://www.acctis.com/password_strength.asp?loc=ge
Nur eben ohne dass jeder sein Passwort eingeben muss.
Problematisch ist, dass bei uns nach der 3. Fehleingabe des Passworts der Login gesperrt wird. Ich kenne mich mit Angriffen aber nicht soweit aus, als dass ich beurteilen kann ob das ein Problem darstellt oder nicht.
Weils so wichtig ist und es vllt jemand überlesen hat ;) Ich will die Passwörter n i c h t wissen! Geht mich ja nichts an... und höchstens mit der Einschränkung kann ich das meinem IT-Leiter verkaufen.
Wenns sowas nicht gibt... hm... dann werde ich wohl ein paar Stichproben ziehn, die Leute per Mail anschreiben. Die müssen mir dann halt ihr ergebnis zumailen... oder so.
So... falls Ihr bis hierher durchgehalten habt: Erstmal danke und meinen Respekt... Ich bin nicht so der begnadete Schreiberling ;) Ich hoffe man konnte es trotz allem verstehen.
Grüße
Lukas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 70613
Url: https://administrator.de/contentid/70613
Ausgedruckt am: 13.11.2024 um 00:11 Uhr
14 Kommentare
Neuester Kommentar
Hi,
unter meinen Linux-Servern lasse ich mehr oder weniger regelmäßig "John, the Ripper" laufen. Wenn er ein Passwort knackt, dann bekommt der User automatisch eine Mail mit seinem Passwort und der Aufforderung, es umgehend zu ändern.
Gibt's glaube ich auch für Windows.
Gruß,
Martin
unter meinen Linux-Servern lasse ich mehr oder weniger regelmäßig "John, the Ripper" laufen. Wenn er ein Passwort knackt, dann bekommt der User automatisch eine Mail mit seinem Passwort und der Aufforderung, es umgehend zu ändern.
Gibt's glaube ich auch für Windows.
Gruß,
Martin
Nein, sperren kannst Du damit nichts. Das Ding liest nur die Hashwerte aus und errechnet daraus das Passwort. Statistik würde ich so führen, indem Du Dir eine Benachrichtigung zukommen lässt, dass ein PW erkannt wurde.
Gruß,
Martin
Gruß,
Martin
Hmmmm........du könntest dir ja mal folgendes Produkt etwas näher anschauen:
http://www.gfi.com/lannetscan/lanscanfeatures.htm
Das ganze nennt sich LanGuard und scant unter vielem anderen auch nach "weak passwords". Eine 30 Tage Eval Version sollte ja für dich ausreichend sein, oder ?
Gruß
Oliver
http://www.gfi.com/lannetscan/lanscanfeatures.htm
Das ganze nennt sich LanGuard und scant unter vielem anderen auch nach "weak passwords". Eine 30 Tage Eval Version sollte ja für dich ausreichend sein, oder ?
Gruß
Oliver
Hallo Lukas!
Bei Deinem Vorhaben wird es Dir wohl nicht erspart bleiben Kenntnis von den Passwörtern zu erhalten. Um die Passwortstaerke bewerten zu können musst Du diese ja zunächst haben.
Um in den Besitz der Passwörter zu kommen, empfehle ich ##ZENSIERT## zu benutzen. Nicht nur weil ophcrack idiotensicher zu konfigurieren ist, sondern auch weil unten im Taskfenster die Zeit angegeben wird, die benötigt wurde um die Passwörter zu ermitteln; was ein erster Anhaltspunkt für die Güte sein kann.
Das der Login nach drei Fehlversuchen gesperrt wird ist völlig unerheblich, da Du ja auf das SAM File zugreifst ohne dabei eingeloggt sein zu müssen.
Ich halte nicht viel von diesen Passwortstrength-Checkern, hier findest Du ein Password Strength Meter, in JavaScript ausgeführt zum Download
Eine genaue Bewertung gibt Dir das Tool aber nicht, dazu musst du Dich schon in die verfügbare Fachliteratur zum Thema einlesen und Deine eigene Schluesse ziehen, hier das Dokument Password Standard der Virginia Commonwealth University, zum warm machen...
saludos
gnarff
Bei Deinem Vorhaben wird es Dir wohl nicht erspart bleiben Kenntnis von den Passwörtern zu erhalten. Um die Passwortstaerke bewerten zu können musst Du diese ja zunächst haben.
Um in den Besitz der Passwörter zu kommen, empfehle ich ##ZENSIERT## zu benutzen. Nicht nur weil ophcrack idiotensicher zu konfigurieren ist, sondern auch weil unten im Taskfenster die Zeit angegeben wird, die benötigt wurde um die Passwörter zu ermitteln; was ein erster Anhaltspunkt für die Güte sein kann.
Das der Login nach drei Fehlversuchen gesperrt wird ist völlig unerheblich, da Du ja auf das SAM File zugreifst ohne dabei eingeloggt sein zu müssen.
Ich halte nicht viel von diesen Passwortstrength-Checkern, hier findest Du ein Password Strength Meter, in JavaScript ausgeführt zum Download
Eine genaue Bewertung gibt Dir das Tool aber nicht, dazu musst du Dich schon in die verfügbare Fachliteratur zum Thema einlesen und Deine eigene Schluesse ziehen, hier das Dokument Password Standard der Virginia Commonwealth University, zum warm machen...
saludos
gnarff
Also mal nen Einwand von mir. Egal wie deine Studie ausfallen sollte würde ich Passwörter schon so sicherer machen indem ich bei den Passwortrichtlinien eine Mindestlänge, Anzahl von Sonderzeichen und von Zahlen festlege falls das nicht schon geschehen ist. Viel mehr lässt sich danach sowieso nicht mehr machen.
Ansonsten kann ich auch nur das LanGuard empfehlen, hab damals sehr gut gearbeitet um bei mir die Richtlinien anzupassen. Sprich Nutzerfreundlichkeit bei guten Maß an Sicherheit.
mfg partey
Ansonsten kann ich auch nur das LanGuard empfehlen, hab damals sehr gut gearbeitet um bei mir die Richtlinien anzupassen. Sprich Nutzerfreundlichkeit bei guten Maß an Sicherheit.
mfg partey
Die guten Passwörter .... ;)
Die Frage ist, welche Daten Du für Deine Studienarbeit auswerten willst ...
Generell läßt sich sagen :
Hatte mal ne Statistik gelesen:
soviel dazu ...
... so ... viel Glück beim Studium ;)
Mfg snBandit
Die Frage ist, welche Daten Du für Deine Studienarbeit auswerten willst ...
Generell läßt sich sagen :
- alle Systempasswörter sind überhaupt nicht sicher (CIA - Commander läßt grüssen ;P)
- besser sind BIOS - Passwörter , weil ... sie unterbinden den Zugriff auf die Peripherie (CD/DVD -ROM ,USB u.s.w.)
Hatte mal ne Statistik gelesen:
- 4 von 5 Angriffen werden erst gar nicht erkannt
- 60 % der erkannten Angriffe gehen auf eigene Mitarbeiter zurück
- 80 % der User verwenden zu kurze oder leicht erratbare Passwörter
- 15 % der User verwenden erst gar kein Passwort
- 3 % der User verwenden sehr sichere Passwörter ( vergessen diese aber ... )
- weniger als 2% haben wirklich sichere Passwörter
soviel dazu ...
- Hauptangriffspunkt sind meistens Werkseinstellungen !!! (Default-Settings)
... so ... viel Glück beim Studium ;)
Mfg snBandit
Generell läßt sich sagen :
- alle Systempasswörter sind
läßt grüssen ;P)
(nur sinnvoll, wenn man kurz den
Arbeitsplatz verläßt...)
- besser sind BIOS - Passwörter , weil
Peripherie (CD/DVD -ROM ,USB u.s.w.)
- Hauptangriffspunkt sind meistens
Der Hauptangriffspunkt bei einem Passwort ist das Passwort selbst, dessen Chiffrat bzw. die Datenbank, in der es abgelegt worden ist...
Zum Einlesen:
1. Password
2. Password strength
3. Password policy
4. Password Management Best Practices
...mit vielen nützlichen Links in den Footern.
saludos
gnarff
Damals gab es das Tool l0stat um Statistiken betreffend der Passwortsicherheit zu erstellen, leider ist l0stat niemals auf Windows 2003 Server portiert worden sondern unterstützt nur Win95, Win98, WinNT 3.x, WinNT 4.x, WinXP, Windows2000.
Andererseits wäre es einen Versuch wert ob es nicht auch unter Windows 2003 Server läuft.
[Update 12/10/07: Das ist natürlich ausgemachter Blödsinn, was ich da bezüglich Windows 2003 Server geschrieben hatte, da die SAM Datenbank offline ausgewertet wird und dies kann man mit l0stat natuerlich auch auf einem XP-Rechner durchführen -sry!]
Die mit l0stat erzeugten Reports sind hier abgebildet
Zum Download und weitere Information
Ich nehme mal an, das ist, was Du gesucht hast...
saludos
gnarff
Andererseits wäre es einen Versuch wert ob es nicht auch unter Windows 2003 Server läuft.
[Update 12/10/07: Das ist natürlich ausgemachter Blödsinn, was ich da bezüglich Windows 2003 Server geschrieben hatte, da die SAM Datenbank offline ausgewertet wird und dies kann man mit l0stat natuerlich auch auf einem XP-Rechner durchführen -sry!]
Die mit l0stat erzeugten Reports sind hier abgebildet
Zum Download und weitere Information
Ich nehme mal an, das ist, was Du gesucht hast...
saludos
gnarff
@gnarff
Bitte nochmal GENAU !!! nachlesen, was geschrieben wurde. Sofern in Deiner tollen Produktionsumgebung auch nur ein einziges CD/DVD - Laufwerk zugänglich ist, mache ich Dir aus Deinem Server und Deinen GPO's ne simple Schreibmaschine. Deswegen BIOS-Passwörter, welche den Zugriff auf diese phys. Laufwerke unterbindet. Das Ganze aber auf lokaler NICHT auf globaler Ebene. Denn wie willst Du Zugang zu Deiner Produktionsumgebung erlangen, wenn Dein Account oder Passwort nicht mehr existiert???
Gruß snBandit
Bitte nochmal GENAU !!! nachlesen, was geschrieben wurde. Sofern in Deiner tollen Produktionsumgebung auch nur ein einziges CD/DVD - Laufwerk zugänglich ist, mache ich Dir aus Deinem Server und Deinen GPO's ne simple Schreibmaschine. Deswegen BIOS-Passwörter, welche den Zugriff auf diese phys. Laufwerke unterbindet. Das Ganze aber auf lokaler NICHT auf globaler Ebene. Denn wie willst Du Zugang zu Deiner Produktionsumgebung erlangen, wenn Dein Account oder Passwort nicht mehr existiert???
Gruß snBandit
Bitte nochmal GENAU !!! nachlesen, was
geschrieben wurde. Sofern in Deiner tollen
Produktionsumgebung auch nur ein einziges
CD/DVD - Laufwerk zugänglich ist, mache
ich Dir aus Deinem Server und Deinen
GPO's ne simple Schreibmaschine.
Deswegen BIOS-Passwörter, welche den
Zugriff auf diese phys. Laufwerke
unterbindet. Das Ganze aber auf lokaler NICHT
auf globaler Ebene.
Wenn es denn überhaupt ein global vergebenes BIOS-Passwort gibt, dann ist es das Masterpasswort.
Ein Biospasswort zu umgehen, ist einfach.
Sich auf ein Biospasswort verlassen zu wollen ist nur dann sinnvoll, wenn man den Rechner gegen einen möglichen Reboot und Eingriffe in die Hardware schützen kann; und was noch viel schlimmer ist, ein derartiger Manipulationsversuch entzieht sich den Augen des Admins- lässt sich nicht überwachen.
Ich stelle mir nun eine Produktionsumgebung von 1000 Clients vor und von diesen sollen nun, zum Beispiel 100 Mitglieder in einem abteilungsuebergreifenden Entwicklungsteam die Berechtigung erhalten CD oder USB Laufwerke benutzen zu können. Da setzt sich der Admin dann auf sein Klapprad und radelt durch die Abteilungen um überall mal kurz von Hand die Berechtigungen einzurichten; sehr schöner Gedanke.
Biospasswörter stellen keinen ausreichenden Schutz da und lassen sich auch nicht zentral verwalten.
Laufwerke, wie oben genannt, baut man aus, verbietet deren Benutzung über eine Richtlinie oder verwendet gleich Terminalclients.
Biospasswoerter sind eine nette Spielerei, ein kleiner Baustein in einem ganzheitlich zu betrachtenden Sicherheitsprozess...
GENAU lesen hilft meistens...
saludos
gnarff