Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Избавляемся от легко угадываемых паролей

Аватар пользователя al.bondarenko
Автор: Бондаренко Александр, R-Vision
(0)
()
Пароли, сколько их уже хоронили, сколько говорили про то, что они ненадежны, они все равно остаются основным средством аутентификации. 

Практически любой пентестер подтвердит, что в рамках работ по взлому он сталкивается с ситуацией нахождения учетных записей, у которых установлен пароль вроде p@ssw0rd или 123456.  Сам помню как в одном случае мы наткнулись на учетную запись с паролем secret (абсолютно реальный случай), которая давала админский доступ как минимум к половине всей инфраструктуры заказчика. 

С такими же проблемами сейчас сталкиваются и онлайн-сервисы, большинство обычных пользователей используют очень простые пароли, что дает возможность злоумышленникам легко получить доступ к нужным аккаунтам. 

Вот, к примеру, Dropbox недавно в очередной раз заблокировал большое количество слабых паролей пользователей сервиса. На мой взгляд это очень правильная профилактическая мера, но как ни странно я что-то не знаю ни одного ИБ-продукта, в котором бы присутствовала функция обнаружения и блокировки слабых учеток. 

Понятно что можно запустить сканер, потом посмотреть отчет, найти виновных и прочее, но ведь было бы значительно проще запускать периодически скрипт, который будет искать учетки со слабыми паролями и менять их на какой-то один сложный, но известный пароль.

Конечно тут есть свои минусы, что увеличится количество обращений в техподдержку с просьбой сбросить пароль, возможно перестанут работать какие-то скрипты, но ведь тут получается классическая дилемма, либо безопасность как должно быть, либо все как придется, дыры в системе, угроза взлома и проч. 

Конечно не стоит рубить с плеча, можно же начать в режиме просто поиска таких учеток, а потом в какой-то момент перейти на принудительный сброс пароля. 

В общем, мне кажется, что это правильная практика, и безопаснику стоит ее при определенных обстоятельствах включить в свой арсенал. 

Теперь о том как это можно сделать.  

1) Необходимо сформировать набор логинов и  паролей, которые будем проверять. Логины берем из AD, пароли из типовых справочников, вроде того что опубликовал тот же Dropbox.

2) Проверку учеток можно сделать, например, с использованием nmap и плагина smb-brute

3) С блокировкой сложнее, готовых инструментов нет, тут придется писать свои скрипты, либо для bash, либо bat-ник, либо плагин на языке nmap.  Для установки пароля нужно всего лишь выполнить команду net user <текущий пароль> <новый пароль>. Как вариант можно воспользоваться плагином nmap - smb-psexec

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.