Auditoría de contraseña

14

La mayoría de las políticas de contraseña requieren que la contraseña tenga al menos 8 caracteres y contenga símbolos de al menos 3 clases (letras minúsculas, mayúsculas, números, otros).

El problema es que una contraseña "pa $$ w0rd!" será aprobada por dicha política, mientras que al mismo tiempo, será encontrada / resquebrajada por una herramienta como John The Ripper en segundos. (o en el caso de "pa $$ w0rd" por una búsqueda de tabla de arco iris)

¿Cómo niego el uso de tales contraseñas? (Pido principalmente mecanismos PAM, pero las soluciones de Windows también serán útiles para otras personas)

Cómo detectar automáticamente contraseñas que se basan en la modificación de las palabras del diccionario usando leet speak, agregando solo 1 o 2 símbolos o números, cambiando mayúsculas y modificaciones similares.

¿Se podría considerar la "mejor práctica" para verificar las contraseñas débiles que usan herramientas como John o tablas arco iris? ¿Definitivamente debo hacer esto cuando comienzo a administrar una nueva red?

    
pregunta Hubert Kario 14.08.2011 - 15:21
fuente

2 respuestas

13
  

¿Se podría considerar la "mejor práctica" para verificar las contraseñas débiles que utilizan herramientas como John o tablas arco iris?

Absolutamente, de hecho, muchas distribuciones de Linux hacen algún nivel de esto de forma inmediata. Debe consultar pam_cracklib, que aplica una serie de pruebas a una nueva contraseña antes de aceptar un cambio. ¿Es lo mismo que el anterior? ¿El viejo invertido? ¿Casi todos los mismos personajes que el anterior? ¿Existe la contraseña en el diccionario que ha especificado para verificar?

Encuentro que La revisión de pam_cracklib por parte de Hal Pomeranz es un excelente lugar para comenzar. Señala con razón que no está bien documentado, lo que dificulta que los administradores lo utilicen para proteger sus sitios, y presenta una guía sencilla para que tenga sentido.

Esto cubre el mantenimiento preventivo de buenas contraseñas, lo que definitivamente es una "mejor práctica". Otro procedimiento que algunos siguen es el cracking activo, donde los administradores ejecutarán John the Ripper en sus propios sistemas y, cuando la contraseña de un usuario es agrietados, obligan al usuario a cambiar su contraseña. Esto se puede hacer de forma continua o de forma programada (trimestral / semestral / anual). Hay algunas cuestiones que deben considerarse antes de elegir hacer esto; ¿Quieres que tus administradores conozcan las contraseñas de los usuarios a medida que se descifran? ¿Tiene un lugar seguro para descifrar que un atacante no pueda acceder? Si haces que los usuarios actualicen las contraseñas tan rápido como se descifran, ¿será demasiado intensivo? ("Todos los usuarios deben cambiar sus contraseñas en los días que terminan en 'Y' ...)

Finalmente, su pregunta se enfoca en la fortaleza de la contraseña. Para fines defensivos, le insto a que también preste atención a la codificación de hash de contraseña. Las contraseñas de Unix / Linux se pueden hashear con DES, MD5 o Blowfish; Es configurable a nivel de sistema. Muchos sistemas utilizan el algoritmo más antiguo y más común, DES, que está trivialmente roto. Si puede cambiar la configuración de su sistema y sus contraseñas a MD5 o Blowfish, será más difícil para los atacantes descifrar sus contraseñas, incluso si el usuario elige "Pa $$ w0rd" como su contraseña.

    
respondido por el gowenfawr 14.08.2011 - 18:38
fuente
1

Algo a considerar es la psicología. En lugar de pedirles una contraseña a sus usuarios, pídales una frase de contraseña o pídales cuatro contraseñas y aplique 20 caracteres.

Siempre es mejor proporcionar a sus usuarios una guía positiva que conduzca a un resultado deseable que castigarlos por no cumplir con los requisitos misteriosos.

    
respondido por el John Deters 20.07.2013 - 00:07
fuente

Lea otras preguntas en las etiquetas