web-dev-qa-db-fra.com

Est-il possible de déterminer la force du mot de passe sans connaître le mot de passe?

Je viens de recevoir un rapport d'un test de pénétration et l'une des recommandations était de renforcer les mots de passe. J'ai cependant réalisé qu'aucun mot de passe n'était fourni pour les testeurs, et je voulais savoir s'il était possible de déterminer la force d'un mot de passe sans vraiment le connaître?

54
pi.

Pas vraiment.

Ce qu'un testeur peut savoir:

  • Politique de mot de passe: Lors de l'inscription, ou lors du changement de mot de passe, l'application peut restreindre les mots de passe possibles, conduisant à des mots de passe faibles. La politique de mot de passe peut également autoriser des mots de passe faibles, mais ce serait un problème distinct.
  • Longueur du mot de passe: Le testeur peut avoir obtenu des informations sur la longueur du mot de passe, par exemple via une injection SQL aveugle, et peut ne pas avoir pris la peine de recueillir le mot de passe.
  • Le mot de passe: Le testeur peut avoir accédé aux mots de passe, par exemple via l'injection SQL ou via le renforcement de la connexion. Mais ces problèmes doivent également être répertoriés séparément.
24
tim

Je suppose qu'il y a deux façons dont ils ont fourni les informations dont ils ont tiré cette conclusion.

  1. Ils ont dirigé le net accounts /domain commande sur un ordinateur d'utilisateurs qui a vidé les exigences de complexité des mots de passe pour votre organisation (suppose Windows/Active Directory)
  2. Ils ont réussi à forcer (ou à deviner) les mots de passe des utilisateurs parce qu'ils étaient faibles. Les décharges de mots de passe récentes comme LinkedIn ont fourni une multitude de mots de passe réels que les testeurs de stylo ont utilisés sur le terrain pour essayer de casser les mots de passe.

Sans plus d'informations, il est difficile de dire comment ils en sont arrivés à cette conclusion (nous n'avons aucune idée de ce que l'équipe rouge a fait ou de ce qui était visé), mais ces deux façons sont la façon dont je suppose qu'ils l'ont fait.

66
DKNUCKLES

Oui, c'est possible.

Les réseaux Windows peuvent être vulnérables à attaques de session nulle qui permettent à l'attaquant de énumérer les détails du système :

... obtenir un accès anonyme à IPC $. Par défaut, les hôtes de la famille Windows NT autorisent l'accès anonyme aux informations système et réseau via NetBIOS, de sorte que les éléments suivants peuvent être glanés:

  • Liste d'utilisateur
  • Liste des machines
  • Liste de noms NetBIOS
  • Partager la liste
  • Informations sur la politique de mot de passe
  • Liste des groupes et des membres
  • Informations sur la politique de l'autorité de sécurité locale
  • Approuver les informations entre les domaines et les hôtes
13
gowenfawr

Un rapport de test de stylo approprié, complet et professionnel doit inclure tous les résultats en détail. Il devrait énumérer non seulement comment ils sont arrivés à leurs conclusions, mais aussi quelles méthodes ils ont utilisées, et éventuellement des captures d'écran de leurs épreuves. Sinon, vous pouvez demander des détails supplémentaires et ils sont tenus d'expliquer ou de fournir les détails.

Cela dit, sans plus de détails, je pense que ce qu'ils pourraient faire, c'est trouver la politique de mot de passe en général, et sur la base de celle-ci, conseiller de la changer ou de l'améliorer, s'ils croient qu'elle est faible ou incomplète. Même dans ce cas, ils ne peuvent et ne doivent pas supposer qu'un mot de passe utilisateur donné est faible uniquement en raison de cette politique. Des mots de passe complexes ou forts peuvent toujours être créés (dans certains cas) même avec une politique de mots de passe moins forte.

La plupart des faiblesses se produisent lorsque l'utilisateur choisit un mot de passe faible, quelle que soit la politique de mot de passe en place.

13
Zack

Répétez après moi: il n'est pas possible de déterminer la force du mot de passe même en connaissant le mot de passe!

Encore une fois: Il n'est pas possible de déterminer la force du mot de passe même en connaissant le mot de passe!

D'un autre côté, vous pouvez connaître les forces du mot de passe en consultant vos documents de politique de mot de passe. Si votre document de politique de mot de passe ne spécifie pas comment les mots de passe doivent être générés, alors il est correct que vous avez une politique de mot de passe faible et donc une force de mot de passe faible.

Une bonne politique de mot de passe spécifie au moins l'exigence d'entropie minimale pour les différentes sections sécurisées et la méthode de génération de mot de passe, au lieu de l'apparence superficielle des mots de passe.

2
Lie Ryan

Il peut y avoir des informations sur la façon dont les mots de passe sont stockés. par exemple, Sharity Light guide , section 3, recommande de définir "LmCompatibilityLevel" = dword: 1 "pour une meilleure compatibilité. Cela entraîne le stockage des mots de passe de manière moins sécurisée.

Dans ce cas, ce que l'utilisateur tape n'est pas le problème détecté. Cependant, ce à quoi il est fait référence est de savoir comment les informations d'identification sont stockées. En modifiant ces détails de stockage, le résultat pourrait raisonnablement être décrit comme un changement qui "renforçait les mots de passe".

0
TOOGAM