Je viens de recevoir un rapport d'un test de pénétration et l'une des recommandations était de renforcer les mots de passe. J'ai cependant réalisé qu'aucun mot de passe n'était fourni pour les testeurs, et je voulais savoir s'il était possible de déterminer la force d'un mot de passe sans vraiment le connaître?
Pas vraiment.
Ce qu'un testeur peut savoir:
Je suppose qu'il y a deux façons dont ils ont fourni les informations dont ils ont tiré cette conclusion.
net accounts /domain
commande sur un ordinateur d'utilisateurs qui a vidé les exigences de complexité des mots de passe pour votre organisation (suppose Windows/Active Directory)Sans plus d'informations, il est difficile de dire comment ils en sont arrivés à cette conclusion (nous n'avons aucune idée de ce que l'équipe rouge a fait ou de ce qui était visé), mais ces deux façons sont la façon dont je suppose qu'ils l'ont fait.
Oui, c'est possible.
Les réseaux Windows peuvent être vulnérables à attaques de session nulle qui permettent à l'attaquant de énumérer les détails du système :
... obtenir un accès anonyme à IPC $. Par défaut, les hôtes de la famille Windows NT autorisent l'accès anonyme aux informations système et réseau via NetBIOS, de sorte que les éléments suivants peuvent être glanés:
- Liste d'utilisateur
- Liste des machines
- Liste de noms NetBIOS
- Partager la liste
- Informations sur la politique de mot de passe
- Liste des groupes et des membres
- Informations sur la politique de l'autorité de sécurité locale
- Approuver les informations entre les domaines et les hôtes
Un rapport de test de stylo approprié, complet et professionnel doit inclure tous les résultats en détail. Il devrait énumérer non seulement comment ils sont arrivés à leurs conclusions, mais aussi quelles méthodes ils ont utilisées, et éventuellement des captures d'écran de leurs épreuves. Sinon, vous pouvez demander des détails supplémentaires et ils sont tenus d'expliquer ou de fournir les détails.
Cela dit, sans plus de détails, je pense que ce qu'ils pourraient faire, c'est trouver la politique de mot de passe en général, et sur la base de celle-ci, conseiller de la changer ou de l'améliorer, s'ils croient qu'elle est faible ou incomplète. Même dans ce cas, ils ne peuvent et ne doivent pas supposer qu'un mot de passe utilisateur donné est faible uniquement en raison de cette politique. Des mots de passe complexes ou forts peuvent toujours être créés (dans certains cas) même avec une politique de mots de passe moins forte.
La plupart des faiblesses se produisent lorsque l'utilisateur choisit un mot de passe faible, quelle que soit la politique de mot de passe en place.
Répétez après moi: il n'est pas possible de déterminer la force du mot de passe même en connaissant le mot de passe!
Encore une fois: Il n'est pas possible de déterminer la force du mot de passe même en connaissant le mot de passe!
D'un autre côté, vous pouvez connaître les forces du mot de passe en consultant vos documents de politique de mot de passe. Si votre document de politique de mot de passe ne spécifie pas comment les mots de passe doivent être générés, alors il est correct que vous avez une politique de mot de passe faible et donc une force de mot de passe faible.
Une bonne politique de mot de passe spécifie au moins l'exigence d'entropie minimale pour les différentes sections sécurisées et la méthode de génération de mot de passe, au lieu de l'apparence superficielle des mots de passe.
Il peut y avoir des informations sur la façon dont les mots de passe sont stockés. par exemple, Sharity Light guide , section 3, recommande de définir "LmCompatibilityLevel" = dword: 1 "pour une meilleure compatibilité. Cela entraîne le stockage des mots de passe de manière moins sécurisée.
Dans ce cas, ce que l'utilisateur tape n'est pas le problème détecté. Cependant, ce à quoi il est fait référence est de savoir comment les informations d'identification sont stockées. En modifiant ces détails de stockage, le résultat pourrait raisonnablement être décrit comme un changement qui "renforçait les mots de passe".