Windows Passwörter in Firmen verschlüsselt abgespeichert?
Guten Tag allerseits
Ich hätte eine kleine Verständnisfrage an euch.
Man hört ja immer wieder von verschiedenen Hackerangriffen auf diverse Websiten. Dabei werden oft Tausende/Millionen von Kundendaten gestohlen. Unter anderem auch die verschlüsselt abgelegten Passwort-Hashes. Die betroffenen Firmen geben dann oft bekannt, dass zwar verschlüsselte Passwörter abhandengekommen sind, diese aber nicht entschlüsselt werden können. Trotzdem werden aber die User aus Sicherheitsgründen aufgefordert die Passwörter zu ändern...
Das klingt also so, als sind verschlüsselte Passwörter auf den Servern ein MUSS (?!?!)
Nun frage ich mich, wie es eigentlich in einer Firma mit den Windows Passwörter aussieht. Ich weiss es leider nicht, deshalb die Frage an euch:
Werden die Windows Passwörter in einer Domäne (im Active Directory ?) verschlüsselt abgelegt? Oder, können Administratoren diese Passwörter sogar einsehen? Oder, werden diese Passwörter in Klartext gespeichert?
Gruss
blowdow
Ich hätte eine kleine Verständnisfrage an euch.
Man hört ja immer wieder von verschiedenen Hackerangriffen auf diverse Websiten. Dabei werden oft Tausende/Millionen von Kundendaten gestohlen. Unter anderem auch die verschlüsselt abgelegten Passwort-Hashes. Die betroffenen Firmen geben dann oft bekannt, dass zwar verschlüsselte Passwörter abhandengekommen sind, diese aber nicht entschlüsselt werden können. Trotzdem werden aber die User aus Sicherheitsgründen aufgefordert die Passwörter zu ändern...
Das klingt also so, als sind verschlüsselte Passwörter auf den Servern ein MUSS (?!?!)
Nun frage ich mich, wie es eigentlich in einer Firma mit den Windows Passwörter aussieht. Ich weiss es leider nicht, deshalb die Frage an euch:
Werden die Windows Passwörter in einer Domäne (im Active Directory ?) verschlüsselt abgelegt? Oder, können Administratoren diese Passwörter sogar einsehen? Oder, werden diese Passwörter in Klartext gespeichert?
Gruss
blowdow
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275336
Url: https://administrator.de/contentid/275336
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
4 Kommentare
Neuester Kommentar
Zitat von @blowdow:
Man hört ja immer wieder von verschiedenen Hackerangriffen auf diverse Websiten. Dabei werden oft Tausende/Millionen von
Kundendaten gestohlen. Unter anderem auch die verschlüsselt abgelegten Passwort-Hashes. Die betroffenen Firmen geben dann oft
bekannt, dass zwar verschlüsselte Passwörter abhandengekommen sind, diese aber nicht entschlüsselt werden
können. Trotzdem werden aber die User aus Sicherheitsgründen aufgefordert die Passwörter zu ändern...
Man hört ja immer wieder von verschiedenen Hackerangriffen auf diverse Websiten. Dabei werden oft Tausende/Millionen von
Kundendaten gestohlen. Unter anderem auch die verschlüsselt abgelegten Passwort-Hashes. Die betroffenen Firmen geben dann oft
bekannt, dass zwar verschlüsselte Passwörter abhandengekommen sind, diese aber nicht entschlüsselt werden
können. Trotzdem werden aber die User aus Sicherheitsgründen aufgefordert die Passwörter zu ändern...
Weil man durch Rainbow-Tables recht schnell vom has auf das Paßwort eines Benutzers schließen kann. das kritische ist, daß man zu den benutzernamen den hash kennt. das ist bei entsprechende Rainbow-Tables so, als ob man das Klartext-Paßwort kennen würde.
Das klingt also so, als sind verschlüsselte Passwörter auf den Servern ein MUSS (?!?!)
Ja, wenn man sichere Paßwortspeicherung betreiben will.
Werden die Windows Passwörter in einer Domäne (im Active Directory ?) verschlüsselt abgelegt?
Ja.
Oder, können Administratoren diese Passwörter sogar einsehen?
I.d.R. Nein, wenn es ordntlch gemacht ist.
Oder, werden diese Passwörter in Klartext gespeichert?
Normalerweise nicht.
lks
Ja, die Passworte im AD sind verschlüsselt.
Ich habe bisher kein Tool gesehen das Passworte aus dem Active Directory auslesen kann.
Selbst die Tools, mit denen man von außen ein Passwort setzen kann können nicht lesen, nur überschreiben.
Einzige möglichkeit wären Key-Logger die die Eingabe der User protokolliert, aber das liest auch nicht aus dem AD.
Gruß Rainer
Ich habe bisher kein Tool gesehen das Passworte aus dem Active Directory auslesen kann.
Selbst die Tools, mit denen man von außen ein Passwort setzen kann können nicht lesen, nur überschreiben.
Einzige möglichkeit wären Key-Logger die die Eingabe der User protokolliert, aber das liest auch nicht aus dem AD.
Gruß Rainer
Hi.
Domänenadmins können so einiges, wenn Sie wollen. Wenn ich Dein Kennwort will, installier ich einen Keylogger bei Dir.
Alternativ kann ich aus dem AD Deinen Kennworthash extrahieren. Desweiteren kann ich, wenn Du Win7/8 mit Defaulteinstellungen benutzt (oder Vista/xp), Dein Kennwort im Klartext von Deinem PC aus auslesen (Du bist angemeldet, ich starte ein Skript von remote, eine Sekunde später fertig). Bei Win8.1 kann man nur noch den Hash auslesen.
Das alles setzt Administratorrechte voraus. Somit wäre eine sinnvollere Frage: "Wer kann mein Kennwort wo auslesen" und "Kann jemand, der den DC gekapert hat, massenweise Plaintext-Kennwörter auslesen" - letzteres ist zu verneinen, auch wenn er auf Umwegen früher oder später alles bekommen wird.
Domänenadmins können so einiges, wenn Sie wollen. Wenn ich Dein Kennwort will, installier ich einen Keylogger bei Dir.
Alternativ kann ich aus dem AD Deinen Kennworthash extrahieren. Desweiteren kann ich, wenn Du Win7/8 mit Defaulteinstellungen benutzt (oder Vista/xp), Dein Kennwort im Klartext von Deinem PC aus auslesen (Du bist angemeldet, ich starte ein Skript von remote, eine Sekunde später fertig). Bei Win8.1 kann man nur noch den Hash auslesen.
Das alles setzt Administratorrechte voraus. Somit wäre eine sinnvollere Frage: "Wer kann mein Kennwort wo auslesen" und "Kann jemand, der den DC gekapert hat, massenweise Plaintext-Kennwörter auslesen" - letzteres ist zu verneinen, auch wenn er auf Umwegen früher oder später alles bekommen wird.