¿Cómo descifrar contraseñas sin revelarlas?

3

Me gustaría comprobar si hay contraseñas débiles (se descargan de Active Directory) sin ver la contraseña (*) . Solo necesito saber que un nombre de usuario dado tiene una contraseña débil e informarle en consecuencia.

John the Ripper sería mi primera opción, pero no encontré la manera de enumerar las cuentas descifradas.

Podría analizar el archivo de resultados para extraer los nombres de usuario, pero esto aún deja abierta la posibilidad de ver una contraseña (inadvertidamente, enviando un SIGHUP al proceso, etc.)

¿Existe alguna funcionalidad de John the Ripper que pueda utilizarse? (no la vi en docs )

Alternativamente: ¿existe un software de cracking con tal funcionalidad que podría usarse en su lugar?

(*) Esto es principalmente para cumplir con las regulaciones de privacidad de la UE que no solo son restrictivas sino que también varían de un país a otro. Esta es también la razón por la que estoy buscando una solución a prueba de balas.

    
pregunta WoJ 23.09.2016 - 10:09
fuente

4 respuestas

3

No soy abogado y, en mi respuesta, asumo que está en un contexto profesional, lo que significa que lo que está tratando de descifrar son las cuentas profesionales que una organización otorga a sus empleados. Como la seguridad general de la organización podría verse debilitada por las contraseñas deficientes, creo que puede pedirles a sus empleados que usen contraseñas no demasiado débiles . No conozco una forma técnica de revelar solo la cuenta con contraseñas débiles sin revelar realmente la contraseña, por lo que usaría un procedimiento de más de 2 ojos :

  • al menos 2 personas (un administrador técnico y un gerente superior) deben participar en la operación, cada una de ellas controla lo que hace la otra
  • ejecuta john de esa manera (asumiendo un sistema Unix o Linux):

    john password_file > /dev/null 2>&1
    john --show password_file | sed -e 's/:.*//' > user_list.txt
    rm ~/.john/john.pot
    

El archivo user_list.txt contendrá solo el nombre de los usuarios para los que John The Ripper descubrió la contraseña, pero ninguna de las personas que la ejecutan ha visto ninguna contraseña.

    
respondido por el Serge Ballesta 23.09.2016 - 12:17
fuente
2

¿Su empresa impone cambios regulares de contraseña? Si es así, cuando se produzca el cambio de contraseña, puede simplemente aplicar las reglas de transformación y la lista de palabras que habría usado con John the Ripper o HashCat o lo que sea, pero en lugar de descifrar un hash, intente derivar el nuevo texto sin formato. la contraseña se crea como parte de (o todas) las nuevas comprobaciones de validación de contraseña.

    
respondido por el Ben 23.09.2016 - 14:31
fuente
1

Podría escribir un pequeño envoltorio de Python analizando la salida de JTR e imprimiendo solo lo que desea imprimir en la salida estándar. Eso haría el truco que creo.

    
respondido por el kaidentity 23.09.2016 - 11:35
fuente
0

Puede descargar una lista de palabras, crear hashes para cada palabra y almacenarlos en una base de datos. Luego informe a las personas que tienen sus hashes dentro de la base de datos.

O cree una política de contraseña y pida a todos que cambien su contraseña.

    
respondido por el CaptainJack 23.09.2016 - 17:49
fuente

Lea otras preguntas en las etiquetas