Estaba pensando anoche después de leer un artículo sobre pruebas de lápiz y auditorías de seguridad. ¿Por qué obtendría una lista de todas las contraseñas de la compañía que está auditando y las sometió a un software para analizarlas?
No obtendrías una lista de todas las contraseñas. Cualquier compañía que pudiera o pudiera producir tal cosa fallaría cualquier auditoría de seguridad razonable.
Es posible que obtenga una lista de todos los hashes de contraseña que luego podrían ejecutarse a través de una herramienta que intenta determinar cuál es la contraseña. La facilidad con la que se pueden romper los hashes de contraseña y los tipos de contraseñas que están rotos será una buena guía para averiguar qué políticas de complejidad de contraseña deben abordarse. Si, por ejemplo, puede descifrar la mitad de los hashes de contraseña porque los usuarios están ingresando contraseñas de 6 caracteres que usan letras minúsculas, entonces probablemente recomendaría aumentar la longitud mínima e imponer algunos requisitos sobre el uso de letras mayúsculas , números, puntuación y otros caracteres.
Para probar contraseñas potencialmente débiles que un atacante malicioso puede descifrar fácilmente.
Esto podría dar una indicación del estado de la política de contraseña de la compañía en particular, lo que podría ser un problema en ciertas circunstancias.
Si se encuentran muchas contraseñas débiles, el evaluador del lápiz podría sugerir a la compañía que cambie y aplique una mejor política de contraseñas.
Por supuesto, no veo ninguna razón para pedirle a la empresa que entregue una lista de contraseñas. Quizás podría ser una lista de contraseñas encontradas después de comprometer una base de datos de usuario o un archivo de sombra de Linux.
Si hace esto desde el mismo número de IP y para la cuenta de root, tiene el firewall apagado y sshd iniciado. Esto es definitivamente peligroso :-)
ps. Las contraseñas no deben usarse en texto plano, sino que deben almacenarse solo en la memoria de los usuarios. Tratar con listas de contraseñas de usuarios no sería bueno en absoluto.
Lo mejor es aplicar una buena política sobre el cambio de contraseña y caducarlas, por lo que después de que se les solicite a los usuarios que cambien la contraseña, sabrá que todo está bien y que las contraseñas son seguras. Y deben almacenarse como picadillo salado, preferiblemente 100.000 veces picado.
Lea otras preguntas en las etiquetas passwords password-management audit