Auch wenn Sie eine noch so ausgefeilte Policy für die Vergabe von Passwörtern aufgestellt haben: Ihre Benutzer werden immer einen Weg finden, sich die Arbeit so einfach wie möglich zu machen. Fordern Sie beispielsweise mindestens ein Sonderzeichen im Passwort, kommt unter Garantie anstatt „qwertz“ das „neue“ Passwort „qwertz_“ dabei heraus. Sind die Benutzer gezwungen, ihr Kennwort alle 30 Tage zu ändern, und lassen Sie dabei die letzten zwei verwendeten Kennwörter nicht zu, können Sie sicher sein, dass Ihre Anwender am Stichtag einfach ihre Kennung drei Mal ändern und dann das alte Passwort wieder verwenden.
Um zu überprüfen, ob Ihre Benutzer zu einfache Passwörter verwenden, haben Sie viele Möglichkeiten. Eine relativ einfache, wenn auch Zeit und Ressourcen fressende Methode ist das Ausprobieren gängiger Zeichenkombinationen gegen einen bekannten Benutzernamen.
Bitte beachten Sie: Aufgrund der Rechtsunsicherheit durch § 202c StGB mussten wir einige Links in diesem Artikel entfernen. Ihre TecChannel-Redaktion.
Dictionaries optimieren
Die Passwortlisten zum Download enthalten Tausende von Einträgen. Es würde wenig Sinn machen und viel zu lange dauern, alle Wörter der Liste auszuprobieren. Mit ein wenig Feintuning können Sie die Arbeit allerdings deutlich beschleunigen. Für die weiteren Experimente benötigen Sie ein installiertes Linux oder ein Linux-Live-CD sowie das Security- und Hackertool Hydra. Viel der im Netz erhältlichen Passwortlisten sind wild aus anderen Listen zusammenkopiert. Daher sollten Sie zunächst sicherstellen, dass sich keine Dubletten in der von Ihnen gewählten Liste befinden befinden. Das erledigen Sie einfach mit folgender Befehlskombination:
cat wortliste.txt | sort | uniq > neue_liste.txt
Wenn Sie eine bestimmte Passwort-Policy implementiert haben, etwa die Vorgabe, dass ein Kennwort mindestens sechs Zeichen lang sein sowie sich aus Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen soll, können Sie die Testliste weiter reduzieren. Dazu enthält die Hydra-Suite das unscheinbare Tool pw-inspector, mit dem Sie Ihre Passwortlisten an Ihre Policy anpassen. Für das obige Beispiel lautet der passende Befehl:
pw-inspector -i wortliste.txt -o neue_liste.txt -m 6 -l -u -n -p
Im Allgemeinen kennt der Password Inspector folgende Parameter:
|
Option |
Beschreibung |
|
-i <Datei> |
Aus dieser Datei liest er die Passwörter aus. |
|
-o <andere Datei> |
In diese Datei schreibt er die Ergebnisse. |
|
-m <Zahl> |
Mindestlänge der Kennwörter |
|
-M <Zahl> |
Maximallänge |
|
-c <Zahl> |
Wenn dieser Parameter angegeben ist, muss sich das Passwort mindestens aus <Zahl> verschiedenen Zeichensätzen zusammensetzen. |
|
Zeichensätze | |
|
-l |
Kleinbuchstaben (a, b, c…) |
|
-u |
Großbuchstaben (A, B, C…) |
|
-n |
Ziffern (1, 2, 3…) |
|
-p |
Andere druckbare Zeichen (!, /, $...) |
|
-s |
Alle anderen Zeichen, die nicht durch die anderen Zeichensätze beschrieben sind. |
Bitte beachten Sie: Aufgrund der Rechtsunsicherheit durch § 202c StGB mussten wir einige Links in diesem Artikel entfernen. Ihre TecChannel-Redaktion.
Hydra
Hydra von der THC-Group ist ein ausgefeiltes und komfortables Linux-Tool, um eine Reihe von Diensten gegen schwache Passwörter zu testen. Derzeit unterstützt Hydra die folgenden Dienste:
TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA
Zusätzlich bietet das Tool aber noch eine Vielzahl nützlicher Features. So lässt sich beispielsweise einstellen, ob ein Rechner oder eine Reihe von Rechnern gescannt werden soll oder auf welchem Port anstelle des Default-Ports es nach dem Dienst suchen soll. Zu testende Accounts oder Passwörter lassen sich mittels einer Liste an das Programm übergeben.
Hydra kann beliebig viele Prozesse starten, um den Test zu beschleunigen. Diese Anzahl reduziert das Tool automatisch, falls es zu Verbindungsproblemen kommt. Die grafische Oberfläche HydraGTK stellt lediglich ein Frontend für das eigentliche Tool dar, erleichtert jedoch die Parameterübergabe ungemein.
John
Um die Passwörter einer lokalen Linux- oder Windowsmaschine zu überprüfen, kommen Sie mit dem Tool John the Ripper password cracker komfortabler und schneller voran.
Neben der üblichen Variante mit Wortlisten kann das Tool John einige subtilere Verfahren anwenden oder auch die Holzhammermethode, bei der es einfach alle möglichen Zeichenkombinationen ausprobiert. Dabei macht John jedoch keinen Login-Versuch, sondern ermittelt nur, ob das getestete Passwort mit dem Hash in der Datei /etc/passwd korreliert. Der Vorteil: Der Account kann nicht wegen zu vieler fehlerhafter Logins gesperrt werden.
Sie müssen allerdings als Superuser root im System angemeldet sein, um gegebenenfalls die Dateien passwd und shadow zu einer gemeinsamen Datei zusammenführen zu können. Ist das nicht der Fall, kann John einige seiner intelligenteren Verfahren nicht anwenden.
Bitte beachten Sie: Aufgrund der Rechtsunsicherheit durch § 202c StGB mussten wir einige Links in diesem Artikel entfernen. Ihre TecChannel-Redaktion.
Ophcrack
Ähnlich wie John kann auch Ophcrack Windows-Kennungen über eine Brute Force Attacke entschlüsseln. Der Ansatz dieses Tools ist relativ einfach, aber zeitaufwändig. Mit entsprechend vorbereiteten Entschlüsselungstabellen reduziert sich die Zeitdauer aber erheblich. Ophcrack benötigt jedoch in jedem Fall viel Speicher.
Die Windows-Version des Tools kann, sofern man als Administrator angemeldet ist, direkt auf die SAM-Datenbank zugreifen und beispielsweise einen User-Dump mitsamt den Passwort-Hashes erzeugen. Mit der Linux-Version benötigen Sie entweder einen vorab erzeugten Dump oder Sie greifen direkt auf die - in diesem Fall allerdings verschlüsselte - SAM der Windows-Partition zu.
Ophcrack finden Sie bei Sourceforge zum Download. Der Download enthält zwar das eigentliche Programm, nicht jedoch die notwendigen Entschlüsselungstabellen. Fündig werden Sie beispielsweise hier im Kryptografieinstitut der Uni Lausanne. Diese bietet sowohl eine kleine Version mit 388 MByte gepackter Passwörter als auch eine Version mit 720 MByte. Dafür sind aber mindestens 512 MByte an Hauptspeicher nötig.
Bitte beachten Sie: Aufgrund der Rechtsunsicherheit durch § 202c StGB mussten wir einige Links in diesem Artikel entfernen. Ihre TecChannel-Redaktion.
Protokol detection
Nicht immer laufen Dienste auf den Standardports, etwa weil die lokale Sicherheits-Policy bestimmte Ports sperrt oder um zu verbergen, welcher Dienst sich hier versteckt. In diesem Fall kommt das Linux-Tool Amap gerade recht. Dieses verbindet sich mit jedem offenen Port und versucht, anhand der Antworten herauszufinden, welcher Dienst sich hinter einem Port versteckt. Amap stammt ebenso wie das bereits erwähnte Hydra von der THC-Group .
Amap durchsucht beispielsweise die folgende Kommandozeile die Ports 1-6000 eines Rechners und ermittelt die darauf laufenden Dienste:
amap -bqv -1 <IP-Adresse> 1-6000
Mit diesen Informationen können Sie dann weiter vorgehen und beispielsweise Tests auf schwache Passwörter durchführen.
Bitte beachten Sie: Aufgrund der Rechtsunsicherheit durch § 202c StGB mussten wir einige Links in diesem Artikel entfernen. Ihre TecChannel-Redaktion.
Passwort-Tools für Netzwerk-Devices
Alle Netzwerkkomponenten wie Router oder managebare Switches werden mit einem voreingestellten Administrator-Account und entsprechendem Passwort ausgeliefert. Nur in wenigen Fällen handelt es sich hierbei um ein spezifisches Passwort für dieses spezielle Gerät, etwa mit eingearbeiteter MAC-Adresse. Meistens verwenden die Hersteller Kombinationen wie Username „admin“ und Passwort „admin“ oder „password“.
Aus diversen Gründen ist es hilfreich, eine Liste mit solchen Default-Kennwörtern zur Hand zu haben. Sei es, um zu überprüfen, ob die Accounts entsprechend umgestellt wurden, oder weil man ein Gerät günstig gebraucht erstanden hat und nun die Administrationsoberfläche benötigt. Eine entsprechende Liste mit Hersteller von 3COM über Cisco bis hin zu ZyXEL finden Sie unter www.phenoelit.de/dpl/dpl.html. (mha)
Bitte beachten Sie: Aufgrund der Rechtsunsicherheit durch § 202c StGB mussten wir einige Links in diesem Artikel entfernen. Ihre TecChannel-Redaktion.