¿Es posible determinar la seguridad de la contraseña sin saber la contraseña?

Navega tus respuestas
54

Acabo de recibir un informe de una prueba de penetración y una de las recomendaciones fue fortalecer las contraseñas. Sin embargo, me di cuenta de que no se proporcionaron contraseñas para los evaluadores, y quería saber si era posible determinar la fortaleza de una contraseña sin saber realmente esa contraseña.

    
pregunta pi. 06.07.2016 - 17:31
fuente

7 respuestas

25

En realidad no.

Lo que un probador puede saber:

  • Política de contraseñas : al registrarse o al cambiar una contraseña, la aplicación puede restringir las posibles contraseñas, lo que lleva a contraseñas débiles. La política de contraseña también puede permitir contraseñas débiles, pero eso sería un problema aparte.
  • Longitud de la contraseña : es posible que el probador haya obtenido información sobre la longitud de la contraseña, por ejemplo, a través de una inyección ciega de SQL, y no se haya molestado en recopilar la contraseña.
  • La contraseña : es posible que el probador haya obtenido acceso a las contraseñas, por ejemplo, a través de la inyección de SQL o mediante el inicio de sesión. Pero estos problemas también deben enumerarse por separado.
respondido por el tim 06.07.2016 - 17:41
fuente
67

Me imagino que hay dos maneras en que se ha encontrado la información de la que sacaron esa conclusión.

  1. Ejecutaron el comando net accounts /domain en una computadora de usuarios que eliminó los requisitos de complejidad de contraseña para su organización (asume Windows / Active Directory)
  2. Brutaron con éxito las contraseñas de usuario forzadas (o adivinadas) porque eran débiles. Los recientes volcados de contraseñas, como LinkedIn, han proporcionado un montón de contraseñas del mundo real que los probadores de lápiz han estado utilizando en el campo para intentar descifrar las contraseñas.

Sin más información, es difícil decir cómo llegaron a esa conclusión (no tenemos idea de lo que hizo el equipo rojo o de lo que estaba dentro del alcance), pero esas dos formas son cómo asumiría que lo hicieron.

    
respondido por el DKNUCKLES 06.07.2016 - 17:40
fuente
13

Sí, es posible.

Las redes de Windows pueden ser vulnerables a Null Ataques de sesión que permiten al atacante enumerar los detalles del sistema :

  

... obtener acceso anónimo a $ IPC. Por defecto, los hosts de la familia Windows NT.   Permitir el acceso anónimo a la información del sistema y la red a través de   NetBIOS, por lo que se puede ver lo siguiente:

     
  • Lista de usuarios
    •   
  • lista de máquinas
    •   
  • lista de nombres NetBIOS
    •   
  • lista de acciones
    •   
  • Información de la política de contraseña
    •   
  • Grupo y lista de miembros
    •   
  • Información de la política de la Autoridad de seguridad local
    •   
  • Confíe en la información entre dominios y hosts
    •   
    
respondido por el gowenfawr 06.07.2016 - 17:44
fuente
13

Un informe de prueba de pluma apropiado, completo y profesional debe incluir todos los hallazgos en detalle. Debe enumerar no solo cómo llegaron a sus conclusiones, sino también qué métodos han utilizado y, potencialmente, capturas de pantalla de sus pruebas. De lo contrario, puede solicitar más detalles y están obligados a explicar o proporcionar los detalles.

Dicho esto, sin más detalles, creo que lo que podrían hacer es encontrar la política de contraseñas en general y, basándose en ello, aconsejarle que la cambie o la mejore, si creen que es débil o está incompleta. Incluso entonces, no pueden y no deben asumir que una contraseña de usuario dada es débil solo debido a esa política. Es posible que aún se creen contraseñas complejas o seguras (en algunos casos) incluso con una política de contraseñas no tan fuerte.

La mayoría de las debilidades ocurren cuando el usuario elige una contraseña débil, independientemente de la política de contraseña establecida.

    
respondido por el Zack 06.07.2016 - 20:44
fuente
2

Repita después de mí: ¡No es posible determinar la fortaleza de la contraseña ni siquiera sabiendo la contraseña!

Nuevamente: ¡No es posible determinar la fortaleza de la contraseña ni siquiera sabiendo la contraseña!

Por otra parte, puede conocer los puntos fuertes de la contraseña al consultar los documentos de la política de contraseñas. Si su documento de política de contraseñas no especifica cómo se deben generar las contraseñas, entonces es correcto que tenga una política de contraseñas débil y, por lo tanto, una fuerza de contraseña débil.

Una buena política de contraseñas especifica al menos el requisito de entropía mínimo para las distintas secciones seguras y el método de generación de contraseñas, en lugar de cómo deben ser las contraseñas superficialmente.

    
respondido por el Lie Ryan 08.07.2016 - 04:41
fuente
0

Puede haber alguna información sobre cómo se almacenan las contraseñas. por ejemplo, Guía de Sharity Light , en la sección 3, se recomienda configurar "LmCompatibilityLevel" = dword: 1 "para una mayor compatibilidad. Esto hace que las contraseñas se almacenen de una manera menos segura.

En este caso, lo que el usuario escribe no es el problema detectado. Sin embargo, se hace referencia a cómo se almacena la información de credenciales. Al cambiar dichos detalles de almacenamiento, el resultado podría describirse razonablemente como un cambio que "fortaleció las contraseñas".

    
respondido por el TOOGAM 06.07.2016 - 18:58
fuente
-4

Fuerza = longitud + mayúsculas / no mayúsculas + números + caracteres especiales

    
respondido por el user116917 07.07.2016 - 19:13
fuente

Lea otras preguntas en las etiquetas

¿Es una mala práctica prefijar mi hash con el algoritmo usado? ¿Cómo implementar de forma segura una característica de "Recordarme"?