Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Passwörter Herausfinden - Nur nicht so wie Ihr jetzt denkt

Mitglied: Drumuu

Drumuu (Level 1) - Jetzt verbinden

10.10.2007, aktualisiert 16.11.2007, 11502 Aufrufe, 14 Kommentare

Sooo... Hallöchen zusammen...

Das hier ist mein erster Beitrag im Forum, bitte verreißt ihn nicht :o)

Ich schreibe im Moment an einer Studienarbeit zum Thema IT-Sicherheit und soll bei meinem Unternehmen (ist ein Duales Studium mit Ausbildungsvertrag) analysieren, was stand der Dinge ist, und eventuell verbessert werden kann.

Da ja niemand die Passwörter so direkt auslesen kann, und unsere User nicht so doof sind, mir die Dinger per mail mitzuteilen wollte ich fragen, ob es irgend eine Software, die die Passwörter knackt zu beurteilt o h n e Sie mir mitzuteilen.
Quasi ein Angriff ohne Ergebnis.
Ich will nur eine Beurteilung, ob die Passwörter im Schnitt sicher / unsicher sind. Eventuell auch noch mit begründung. Sowas wie auf dieser Seite hier:

http://www.acctis.com/password_strength.asp?loc=ge

Nur eben ohne dass jeder sein Passwort eingeben muss.

Problematisch ist, dass bei uns nach der 3. Fehleingabe des Passworts der Login gesperrt wird. Ich kenne mich mit Angriffen aber nicht soweit aus, als dass ich beurteilen kann ob das ein Problem darstellt oder nicht.

Weils so wichtig ist und es vllt jemand überlesen hat ;) Ich will die Passwörter n i c h t wissen! Geht mich ja nichts an... und höchstens mit der Einschränkung kann ich das meinem IT-Leiter verkaufen.

Wenns sowas nicht gibt... hm... dann werde ich wohl ein paar Stichproben ziehn, die Leute per Mail anschreiben. Die müssen mir dann halt ihr ergebnis zumailen... oder so.

So... falls Ihr bis hierher durchgehalten habt: Erstmal danke und meinen Respekt... Ich bin nicht so der begnadete Schreiberling ;) Ich hoffe man konnte es trotz allem verstehen.

Grüße

Lukas
Mitglied: 39916
10.10.2007 um 16:03 Uhr
Hi,

unter meinen Linux-Servern lasse ich mehr oder weniger regelmäßig "John, the Ripper" laufen. Wenn er ein Passwort knackt, dann bekommt der User automatisch eine Mail mit seinem Passwort und der Aufforderung, es umgehend zu ändern.

Gibt's glaube ich auch für Windows.

Gruß,

Martin
Bitte warten ..
Mitglied: Drumuu
10.10.2007 um 16:34 Uhr
Danke für die schnelle Antwort = )

Klingt prinzipiell nicht schlecht.

Wir haben Novell- und Windows server, wobei die User-DB auf den Novell Servern liegt... glaube ich zumindest ( hoffe ich erzähl jetzt grad keinen Stuss)

Kann das Programm auch Auswertungen liefern? Ich bräuchte halt mehr oder weniger ne Statistik die ich für eine Auswertung der PW-Sicherheit verwenden kann. Die Möglichkeit mit den Passwörtern ist super, werd ich, wenn ich unsern Admin (wir ham nur einen, so groß sind wir nicht ;) ) löchere, auch mal als generelle Überprüfungsmethode ansprechen.

Das ergibt keine Probleme mit der Falscheingaben-Regel, die nach 3maliger Falscheingabe sperrt, oder? (läuft ja, wie du sagst auf dem Server und nicht am Client)

Gruß

Lukas
Bitte warten ..
Mitglied: 39916
10.10.2007 um 16:40 Uhr
Nein, sperren kannst Du damit nichts. Das Ding liest nur die Hashwerte aus und errechnet daraus das Passwort. Statistik würde ich so führen, indem Du Dir eine Benachrichtigung zukommen lässt, dass ein PW erkannt wurde.

Gruß,

Martin
Bitte warten ..
Mitglied: olibln68
10.10.2007 um 16:50 Uhr
Hmmmm........du könntest dir ja mal folgendes Produkt etwas näher anschauen:

http://www.gfi.com/lannetscan/lanscanfeatures.htm

Das ganze nennt sich LanGuard und scant unter vielem anderen auch nach "weak passwords". Eine 30 Tage Eval Version sollte ja für dich ausreichend sein, oder ?


Gruß

Oliver
Bitte warten ..
Mitglied: Drumuu
10.10.2007 um 18:19 Uhr
Ui... ich werd beides mal runterladen, mir anschauen, und wenn ich das Ganze dann auch noch nutzen d a r f (daran hängts atm), berichte ich wies lief...


Ihr habt mir auf jeden Fall schon mal sehr geholfen, dankeschön = )
Bitte warten ..
Mitglied: gnarff
11.10.2007 um 01:42 Uhr
Hallo Lukas!

Bei Deinem Vorhaben wird es Dir wohl nicht erspart bleiben Kenntnis von den Passwörtern zu erhalten. Um die Passwortstaerke bewerten zu können musst Du diese ja zunächst haben.

Um in den Besitz der Passwörter zu kommen, empfehle ich ##ZENSIERT## zu benutzen. Nicht nur weil ophcrack idiotensicher zu konfigurieren ist, sondern auch weil unten im Taskfenster die Zeit angegeben wird, die benötigt wurde um die Passwörter zu ermitteln; was ein erster Anhaltspunkt für die Güte sein kann.

Das der Login nach drei Fehlversuchen gesperrt wird ist völlig unerheblich, da Du ja auf das SAM File zugreifst ohne dabei eingeloggt sein zu müssen.

Ich halte nicht viel von diesen Passwortstrength-Checkern, hier findest Du ein Password Strength Meter, in JavaScript ausgeführt zum Download

Eine genaue Bewertung gibt Dir das Tool aber nicht, dazu musst du Dich schon in die verfügbare Fachliteratur zum Thema einlesen und Deine eigene Schluesse ziehen, hier das Dokument Password Standard der Virginia Commonwealth University, zum warm machen...

saludos
gnarff
Bitte warten ..
Mitglied: parteyspeaka
11.10.2007 um 15:14 Uhr
Also mal nen Einwand von mir. Egal wie deine Studie ausfallen sollte würde ich Passwörter schon so sicherer machen indem ich bei den Passwortrichtlinien eine Mindestlänge, Anzahl von Sonderzeichen und von Zahlen festlege falls das nicht schon geschehen ist. Viel mehr lässt sich danach sowieso nicht mehr machen.

Ansonsten kann ich auch nur das LanGuard empfehlen, hab damals sehr gut gearbeitet um bei mir die Richtlinien anzupassen. Sprich Nutzerfreundlichkeit bei guten Maß an Sicherheit.

mfg partey
Bitte warten ..
Mitglied: snBandit
11.10.2007 um 16:04 Uhr
Die guten Passwörter .... ;)

Die Frage ist, welche Daten Du für Deine Studienarbeit auswerten willst ...

Generell läßt sich sagen :

  • alle Systempasswörter sind überhaupt nicht sicher (CIA - Commander läßt grüssen ;P)
(nur sinnvoll, wenn man kurz den Arbeitsplatz verläßt...)

  • besser sind BIOS - Passwörter , weil ... sie unterbinden den Zugriff auf die Peripherie (CD/DVD -ROM ,USB u.s.w.)

Hatte mal ne Statistik gelesen:

  • 4 von 5 Angriffen werden erst gar nicht erkannt
  • 60 % der erkannten Angriffe gehen auf eigene Mitarbeiter zurück
  • 80 % der User verwenden zu kurze oder leicht erratbare Passwörter
  • 15 % der User verwenden erst gar kein Passwort
  • 3 % der User verwenden sehr sichere Passwörter ( vergessen diese aber ... )
  • weniger als 2% haben wirklich sichere Passwörter

soviel dazu ...

  • Hauptangriffspunkt sind meistens Werkseinstellungen !!! (Default-Settings)

... so ... viel Glück beim Studium ;)

Mfg snBandit
Bitte warten ..
Mitglied: gnarff
11.10.2007 um 16:41 Uhr

Generell läßt sich sagen :

  • alle Systempasswörter sind
überhaupt nicht sicher (CIA - Commander
läßt grüssen ;P)
(nur sinnvoll, wenn man kurz den
Arbeitsplatz verläßt...)

Das ist Unfug, da eine Produktionsumgebung zumeist von einem Server verwaltet wird und da hilft Dir Dein CIA Commander herzlich wenig...
  • besser sind BIOS - Passwörter , weil
... sie unterbinden den Zugriff auf die
Peripherie (CD/DVD -ROM ,USB u.s.w.)

Wieder falsch, mit BIOS Passwoerten wird der Zugriff auf die BIOS-Einstellungen restringiert; sonst nichts. Zugriffe auf die Peripherie unterbindet man mit Gruppenrichtlinien oder physisch.

  • Hauptangriffspunkt sind meistens
Werkseinstellungen !!! (Default-Settings)
Auch falsch, weil ein gut geschulter Admin die Defaultpasswoerter ändert.
Der Hauptangriffspunkt bei einem Passwort ist das Passwort selbst, dessen Chiffrat bzw. die Datenbank, in der es abgelegt worden ist...

Zum Einlesen:
1. Password
2. Password strength
3. Password policy
4. Password Management Best Practices
...mit vielen nützlichen Links in den Footern.

saludos
gnarff
Bitte warten ..
Mitglied: Drumuu
11.10.2007 um 16:55 Uhr
Aaaalso...

Generell will ich für die Studienarbeit unsere eigene IT-Sicherheit bewerten, sprich: was haben wir, was ließe sich besser machen, usw.

Wir haben getrennte Passwörter für unsere Groupware und den Login von Novell / Windows. Das Problem ist: Die Groupware Passwörter muss ich ohnehin nicht untersuchen. Die unterliegen keiner Policy, es ist nicht festgelegt dass man sie ändern muss, keine Zeichenregelung… naja, ich könnte 123 als Passwort festlegen und es würde keinen stören.

Was ich damit Sagen will: Ich habe über die meisten Sachen schon genug zu „meckern“. Was ich halt gern noch als Gimmick hätte, wäre eine Auswertung der Windows/Novell-passwörter á la:

Eine Auswertung der von den Usern festgelegten Passwörtern ergab dass:
65 % der Passwörter zu kurz sind.
43 % der Passwörter enthalten weder Zahlen noch Sonderzeichen
10 % der Passwörter enthalten keine Sonderzeichen
73 % der Passwörter konnten über ein Wörterbuch ermittelt werden

Sowas in der Art, was diese Passwort Prüfer eben auch machen. Ja, ich weiß dass das nicht viel bringt… aber es sieht schön aus und verdeutlicht, warum (da wette ich alles drauf) die Passwörter unserer User einem Hacker nichts entgegensetzen, was bedeutet, dass wir eine bessere Unternehmenspolitik zur Vergabe von Passwörtern brauchen.

BIOS- Passwörter werde ich für unsere Notebook-User vorschlagen, bei den Desktop Usern ist es schwieriger, weil wir Springer haben. Und ein Passwort, dass jeder kennt, ist kein Passwort. Social Engineering und ehemalige Mitarbeiter mit Groll auf die Firma lassen grüßen =)

Im Laufe der Studienarbeit hab ich inzwischen sowieso den Eindruck dass unser Schutzwall gegen aussen eh mehr ausschaut wie die Mauer nach dem 9. November 1989…



Ach ja Die Statistik

Hatte mal ne Statistik gelesen:

          • 4 von 5 Angriffen werden erst gar nicht erkannt
          • 60 % der erkannten Angriffe gehen auf eigene Mitarbeiter zurück
          • 80 % der User verwenden zu kurze oder leicht erratbare Passwörter
          • 15 % der User verwenden erst gar kein Passwort
          • 3 % der User verwenden sehr sichere Passwörter ( vergessen diese aber ... )
          • weniger als 2% haben wirklich sichere Passwörter

ist natürlich auch absolut genial xD

Das Problem ist, dass ich für sowas immer Belege brauche, ums verwenden zu können.

Danke nochmal für die vielen Antworten =)
Bitte warten ..
Mitglied: gnarff
11.10.2007 um 17:37 Uhr
Damals gab es das Tool l0stat um Statistiken betreffend der Passwortsicherheit zu erstellen, leider ist l0stat niemals auf Windows 2003 Server portiert worden sondern unterstützt nur Win95, Win98, WinNT 3.x, WinNT 4.x, WinXP, Windows2000.
Andererseits wäre es einen Versuch wert ob es nicht auch unter Windows 2003 Server läuft.

[Update 12/10/07: Das ist natürlich ausgemachter Blödsinn, was ich da bezüglich Windows 2003 Server geschrieben hatte, da die SAM Datenbank offline ausgewertet wird und dies kann man mit l0stat natuerlich auch auf einem XP-Rechner durchführen -sry!]

Die mit l0stat erzeugten Reports sind hier abgebildet
Zum Download und weitere Information

Ich nehme mal an, das ist, was Du gesucht hast...

saludos
gnarff
Bitte warten ..
Mitglied: snBandit
15.10.2007 um 13:44 Uhr
@gnarff

Bitte nochmal GENAU !!! nachlesen, was geschrieben wurde. Sofern in Deiner tollen Produktionsumgebung auch nur ein einziges CD/DVD - Laufwerk zugänglich ist, mache ich Dir aus Deinem Server und Deinen GPO's ne simple Schreibmaschine. Deswegen BIOS-Passwörter, welche den Zugriff auf diese phys. Laufwerke unterbindet. Das Ganze aber auf lokaler NICHT auf globaler Ebene. Denn wie willst Du Zugang zu Deiner Produktionsumgebung erlangen, wenn Dein Account oder Passwort nicht mehr existiert???

Gruß snBandit
Bitte warten ..
Mitglied: gnarff
15.10.2007 um 15:47 Uhr

Bitte nochmal GENAU !!! nachlesen, was
geschrieben wurde. Sofern in Deiner tollen
Produktionsumgebung auch nur ein einziges
CD/DVD - Laufwerk zugänglich ist, mache
ich Dir aus Deinem Server und Deinen
GPO's ne simple Schreibmaschine.
Aber nicht mit CIA-Commander...
Deswegen BIOS-Passwörter, welche den
Zugriff auf diese phys. Laufwerke
unterbindet. Das Ganze aber auf lokaler NICHT
auf globaler Ebene.
BIOS-Passwörter stellen, wie gesagt, keinen ausreichenden Schutz dar.
Wenn es denn überhaupt ein global vergebenes BIOS-Passwort gibt, dann ist es das Masterpasswort.
Ein Biospasswort zu umgehen, ist einfach.
Sich auf ein Biospasswort verlassen zu wollen ist nur dann sinnvoll, wenn man den Rechner gegen einen möglichen Reboot und Eingriffe in die Hardware schützen kann; und was noch viel schlimmer ist, ein derartiger Manipulationsversuch entzieht sich den Augen des Admins- lässt sich nicht überwachen.

Ich stelle mir nun eine Produktionsumgebung von 1000 Clients vor und von diesen sollen nun, zum Beispiel 100 Mitglieder in einem abteilungsuebergreifenden Entwicklungsteam die Berechtigung erhalten CD oder USB Laufwerke benutzen zu können. Da setzt sich der Admin dann auf sein Klapprad und radelt durch die Abteilungen um überall mal kurz von Hand die Berechtigungen einzurichten; sehr schöner Gedanke.

Biospasswörter stellen keinen ausreichenden Schutz da und lassen sich auch nicht zentral verwalten.
Laufwerke, wie oben genannt, baut man aus, verbietet deren Benutzung über eine Richtlinie oder verwendet gleich Terminalclients.
Biospasswoerter sind eine nette Spielerei, ein kleiner Baustein in einem ganzheitlich zu betrachtenden Sicherheitsprozess...

GENAU lesen hilft meistens...

saludos
gnarff
Bitte warten ..
Mitglied: gnarff
16.11.2007 um 17:57 Uhr
IN DIESEM THREAD WURDEN KOMMENTARE ODER INFORMATIONEN WEGEN NEUER GESETZESLAGE ZENSIERT ODER GELOESCHT[ gnarff / el moderador]
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
Betriebssystem herausfinden
Frage von UliSchlesingerFestplatten, SSD, Raid10 Kommentare

Hallo, ich habe eine Festplatte mit Betriebssystem bekommen. Keiner weiß welches BS drauf ist. Wenn ich die HDD in ...

Virtualisierung
Hypervisor von VM herausfinden!
gelöst Frage von YannoschVirtualisierung4 Kommentare

Hallo liebe Community, ich habe eine Frage und zwar: Ich befinde mich per mstsc auf einer VM. Kann ich ...

Netzwerkprotokolle

Herausfinden, welches Protokoll zur Namensauflösung verwendet wird

Frage von manotadaNetzwerkprotokolle4 Kommentare

Hallo, kennt jemand eine Methode, um herauszufinden über welches Protokoll die Namensauflösung statt findet? Mit ping -a IP-Adresse kann ...

LAN, WAN, Wireless

Herausfinden, wohin sich ein Gerät connecten will

gelöst Frage von xtra-longLAN, WAN, Wireless11 Kommentare

Hi. Ich habe ein Problem ^^ Habe hier ein Gerät in einem WLAN, welches über einen bestimmten Port Daten ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 2 TagenBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 4 TagenHumor (lol)10 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 4 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 5 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail32 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server21 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...

Windows Server
Server verliert Dateien und Ordner
gelöst Frage von routeserverWindows Server18 Kommentare

Hallo Freunde, ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob ...

Windows Tools
User Self Service und Client Management
Frage von OrkansonWindows Tools14 Kommentare

Hallo zusammen, ich hab ein paar verschiedene Fragen: 1. Was benutzt ihr um Software im Unternehmen zu verteilen? 2. ...