6.02.2011

Аудит паролей

Аудит паролей - хорошая мера контроля их стойкости.

Забираем хеши

Цель данного аудита - проверить пароли пользователей на стойкость, а не пентест AD, поэтому просто заберем то, что нам нужно.

  1. Качаем с сайта программное обеспечение fgdump (например, текущую версию
    fgdump-2.1.0-exeonly.zip)
    http://swamp.foofus.net/fizzgig/fgdump/downloads.htm ;
  2. Приостанавливаем работу антивируса на контроллере домена;
  3. С правами администратора домена с самого домена запускаем fgdump для экспорта паролей
    (можно без дополнительных параметров, тогда пароли будут экспортированы в текущую папку, дополнительные команды программы можно узнать, запустив
    fgdump -?);
  4. Возобновляем работу антивируса на контроллере домена;
  5. Переносим файл вида 127.0.0.1.pwdump с паролями на защищенный диск.

Восстанавливаем пароли


Восстанавливаем пароли по их хешам тоже не руками, а с помощью программы LCP.

  1. Качаем с сайта программное обеспечение LCP (например, текущую версию
    5.0.4)
    http://www.lcpsoft.com/russian/download.htm ;
  2. Главное окно программы выглядит так, как это показано на рисунке:

  3. Открываем файл ранее импортированных хешей паролей;
  4. После того как импорт будет завершен содержимое главного окна программы LCP изменится и примет вид (приблизительно) как на рисунке:
  5. Первоначально нужно провести простые аудиты:
    • Подбор числового пароля
      Необходимо выставить настройки, как показано на скриншотах и в меню «Сеанс» выбрать команду «Начать аудит». Аудит продолжается менее минуты.
    • Подбор короткого символьного пароля
      Необходимо в качество пользовательского набора выставить маленькие буквы английского алфавита и в меню «Сеанс» выбрать команду «Начать аудит».
  6. Для наиболее полного аудита необходимо выставить более сложные настройки в программе (желательно в соответствии с настройками парольной политики), в меню «Сеанс» выбрать команду «Начать аудит», начнется подбор паролей. Время такого аудита может занимать более одного дня, следовательно такой аудит должен проводится в случае крайней необходимости.

Повышаем защищенность


Если в организации парольная политика внедрена только организационно, то указанный выше метод поможет выявить проблемы.

Для повышения защищенности информационных ресурсов необходимо техническое внедрение парольной политики на компьютерах организации: на сетевых с помощью AD, на автономных - с помощью внутренних политик.

Для повышения защищенности хешей паролей необходимо превратить LM-хеши в NT-хеши (почему, читаем тут: http://ru.wikipedia.org/wiki/LM-хеш).

posted by hunter_po at 07:58 0 comments

6.01.2011

Парольная защита

Сложность пароля должна быть прямо пропорциональна ценности информации, которую он охраняет.


Стойкость пароля

Прежде чем приводить один из примеров запоминания сложного пароля, нужно привести выкладку, чем сложный пароль отличается от простого пароля.

А отличается он скоростью взлома.

За основу возьмем следующую таблицу:

Время полного перебора всех возможных паролей заданного алфавита при скорости перебора 10,000,000 паролей в секунду


алфавит 6 символов 8 символов 10 символов 12 символов
26 (латиница все маленькие или все
большие)		 31 сек 5 часов 50 мин 163.5 суток 303 года
52 (латиница с переменным регистром) 33 мин 62 суток 458 лет 1 239 463 года
62 (латиница разного регистра плюс
цифры)		 95 мин 252 суток 17 часов 2 661 год 10 230 425 лет
68 (латиница разного регистра плюс
цифры плюс знаки препинания .,;:!?)		 2 часа 45 мин 529 суток 6 703 года 30 995 621 лет
80 (латиница разного регистра плюс
цифры плюс знаки препинания .,;:!? плюс скобки
()[]{} плюс #$%&*~)		 7 часов 30 мин 5 лет 4 месяца 34 048 лет 217 908 031 год

Источник: http://bugtraq.ru/library/security/passunleashed.html

Статья аж 2006 года, что изменилось за 5 лет?

Проверим скорость пароля сейчас.

Компьютер: Intel Xeon 2 GHz 4 GB RAM.

1. Архив ZIP

Программа ARCHPR 4.50

Скорость подбора паролей: 19 млн. в секунду


2. LM-хэши паролей 2,5 т. пользователей AD

Программа LCP 5.04

Скорость подбора паролей: 1,7 млн. в секунду.

Т.е. скорости подбора паролей на порядок не изменились, так, в несколько раз возросла.

Поэтому по-прежнему актуально учетных записей пользователей использовать 8 символьный пароль, состоящий из латиницы разного регистра, цифр, знаков препинания - .,;:!?? скобок - ()[]{}, служебных символов - #$%&*~, а для администраторов - 14значный.


Запоминание пароля

А теперь, метод запоминания пароля, при котором пароль можно приклеить на монитор или положить в бумажник.

Ну, хитрю, не сам пароль, а некоторую табличку – вот такую:

В табличке осталось выбрать, некоторую кривую и точку отсчета, по которым пароль и запоминать.

Табличек можно нагенерировать вот тут, например:

http://www.passwordcard.org/ru

posted by hunter_po at 09:08 0 comments