Como verificar seu sistema em busca de senhas fracas


1

Sei que uma maneira é impor regras às senhas, usar pelo menos uma letra maiúscula, minúscula, número, caractere especial e garantir que o tamanho da senha seja pelo menos 8 caracteres, etc ...

Existe uma maneira adicional de descobrir senhas fracas após elas terem sido geradas? Eu ouvi falar de "John the ripper". Alguém aplicou com sucesso isso?


Aqui está um guia para administradores sobre senhas de cracking: tools.question-defense.com/Cracking_Passwords_Guide.pdf
math

Respostas:



3

As senhas são (se a implementação for boa) armazenadas como um código hash em seu sistema. Além disso, eles devem ser salgados para esconder senhas fracas (no caso de alguém entender o banco de dados). Você pode ler sobre sal e armazenamento de senha aqui: http://en.wikipedia.org/wiki/Salt_%28cryptography%29

Se você ler o artigo que você vai entender, que feito certo a senha em si nunca será armazenada. O que é armazenado é o código hash da senha + sal e o próprio sal. O que você poderia fazer para testar seu sistema em busca de senhas fracas é a mesma coisa que os hackers fazem: usando força bruta. Em seu caso especial, você poderia (se um sal é usado para todas as senhas) usar uma tabela com senhas + sal e o código hash gerado. Isso diminuirá o tempo de computação rapidamente, já que você só terá que comparar os códigos hash (Isso só será verdadeiro se você usar o banco de dados mais de uma vez). Mas, novamente, isso só é possível se a implementação não for a melhor solução possível.

Se não tiver proibido senhas fracas e você quiser que seus usuários usem senhas fortes, a maneira mais fácil (apenas) de conseguir isso é forçar os usuários na geração de senha ou verificar sua senha no login, contanto que a senha ainda esteja armazenada limpa na memória. . Assim, você só pode verificar facilmente senhas fortes para usuários "usando" o computador. Se você quiser verificar as senhas de todos os usuários, sua opção é a força bruta.

Se você não tiver feito isso no passado, a solução seria redefinir TODAS as senhas com senhas fortes geradas aleatoriamente e entregá-las aos seus usuários. No próximo login você pode forçar seus usuários a usar senhas fortes.

John the Ripper é um ataque de força bruta. Tem um dicionário massivo e códigos hash armazenados e, em seguida, executa isso contra suas senhas. Você sempre pode executar isso, mas deve ser um desperdício de tempo de CPU, pois você deve impor senhas fortes.


3

Há toneladas de serviços online que geram senhas seguras e serviços que verificam a força atual da senha em um clique (ou até mesmo sem cliques :)). Pessoalmente, eu gosto GetSecurePassword já que combina os dois recursos.


Obrigado, eu deveria ter editado a questão até agora, como eu estou alvejando na análise de senha depois que ela foi gerada e você só tem mais o hash. Além disso, não quero verificar as passagens de texto simples usadas em meu sistema de softwares de terceiros, pois elas podem ser armazenadas.
math

1

João, o Estripador é outra ferramenta para usar para isso. Na verdade, tenta quebrar sua senha com base em muitos métodos diferentes. O importante com o JTR é o tempo de execução - quanto mais demorado, mais segura é a senha.

A maneira de usá-lo é detalhada Aqui (Eu evitei ligar para documentatoin do projeto - é muito esparso)

cp /etc/shadow shadow 
john -user:luser shadow

é o método mais rápido para colocá-lo em funcionamento.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.