blowdow
Goto Top

Windows Passwörter in Firmen verschlüsselt abgespeichert?

Guten Tag allerseits

Ich hätte eine kleine Verständnisfrage an euch.

Man hört ja immer wieder von verschiedenen Hackerangriffen auf diverse Websiten. Dabei werden oft Tausende/Millionen von Kundendaten gestohlen. Unter anderem auch die verschlüsselt abgelegten Passwort-Hashes. Die betroffenen Firmen geben dann oft bekannt, dass zwar verschlüsselte Passwörter abhandengekommen sind, diese aber nicht entschlüsselt werden können. Trotzdem werden aber die User aus Sicherheitsgründen aufgefordert die Passwörter zu ändern...

Das klingt also so, als sind verschlüsselte Passwörter auf den Servern ein MUSS (?!?!)

Nun frage ich mich, wie es eigentlich in einer Firma mit den Windows Passwörter aussieht. Ich weiss es leider nicht, deshalb die Frage an euch:

Werden die Windows Passwörter in einer Domäne (im Active Directory ?) verschlüsselt abgelegt? Oder, können Administratoren diese Passwörter sogar einsehen? Oder, werden diese Passwörter in Klartext gespeichert?

Gruss
blowdow

Content-ID: 275336

Url: https://administrator.de/contentid/275336

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 22.06.2015 aktualisiert um 14:21:37 Uhr
Goto Top
Zitat von @blowdow:

Man hört ja immer wieder von verschiedenen Hackerangriffen auf diverse Websiten. Dabei werden oft Tausende/Millionen von
Kundendaten gestohlen. Unter anderem auch die verschlüsselt abgelegten Passwort-Hashes. Die betroffenen Firmen geben dann oft
bekannt, dass zwar verschlüsselte Passwörter abhandengekommen sind, diese aber nicht entschlüsselt werden
können. Trotzdem werden aber die User aus Sicherheitsgründen aufgefordert die Passwörter zu ändern...

Weil man durch Rainbow-Tables recht schnell vom has auf das Paßwort eines Benutzers schließen kann. das kritische ist, daß man zu den benutzernamen den hash kennt. das ist bei entsprechende Rainbow-Tables so, als ob man das Klartext-Paßwort kennen würde.

Das klingt also so, als sind verschlüsselte Passwörter auf den Servern ein MUSS (?!?!)

Ja, wenn man sichere Paßwortspeicherung betreiben will.


Werden die Windows Passwörter in einer Domäne (im Active Directory ?) verschlüsselt abgelegt?

Ja.

Oder, können Administratoren diese Passwörter sogar einsehen?

I.d.R. Nein, wenn es ordntlch gemacht ist.

Oder, werden diese Passwörter in Klartext gespeichert?

Normalerweise nicht.

lks
reiser
Lösung reiser 22.06.2015 aktualisiert um 14:23:43 Uhr
Goto Top
Ja, die Passworte im AD sind verschlüsselt.

Ich habe bisher kein Tool gesehen das Passworte aus dem Active Directory auslesen kann.
Selbst die Tools, mit denen man von außen ein Passwort setzen kann können nicht lesen, nur überschreiben.
Einzige möglichkeit wären Key-Logger die die Eingabe der User protokolliert, aber das liest auch nicht aus dem AD.

Gruß Rainer
blowdow
blowdow 22.06.2015 aktualisiert um 14:23:40 Uhr
Goto Top
Danke für eure schnelle Antwort. Ihr habt mir super weiterhelfen können face-smile

Vielen Dank!
DerWoWusste
DerWoWusste 22.06.2015 um 17:29:03 Uhr
Goto Top
Hi.

Domänenadmins können so einiges, wenn Sie wollen. Wenn ich Dein Kennwort will, installier ich einen Keylogger bei Dir.
Alternativ kann ich aus dem AD Deinen Kennworthash extrahieren. Desweiteren kann ich, wenn Du Win7/8 mit Defaulteinstellungen benutzt (oder Vista/xp), Dein Kennwort im Klartext von Deinem PC aus auslesen (Du bist angemeldet, ich starte ein Skript von remote, eine Sekunde später fertig). Bei Win8.1 kann man nur noch den Hash auslesen.

Das alles setzt Administratorrechte voraus. Somit wäre eine sinnvollere Frage: "Wer kann mein Kennwort wo auslesen" und "Kann jemand, der den DC gekapert hat, massenweise Plaintext-Kennwörter auslesen" - letzteres ist zu verneinen, auch wenn er auf Umwegen früher oder später alles bekommen wird.