なぜパスワード監査を行うのか
ペンテストとセキュリティ監査に関する記事を読んだ後、私は昨夜考えていましたが、なぜあなたが監査している会社のすべてのパスワードのリストを取得し、分析するためにソフトウェアにかけますか?
すべてのパスワードのリストを取得することはできません。このようなことを行う可能性がある、または生み出す可能性のある企業は、合理的なセキュリティ監査に不合格となります。
パスワードが何であるかを判別しようとするツールを介して実行できるすべてのパスワードハッシュのリストを取得する場合があります。パスワードハッシュの解読の容易さ、および解読されるパスワードの種類は、対処する必要があるパスワードの複雑さのポリシーを理解するための良いガイドになります。たとえば、ユーザーがすべて小文字を使用する6文字のパスワードを入力しているためにパスワードハッシュの半分を解読できる場合は、おそらく最小長を増やし、大文字の使用についていくつかの要件を課すことをお勧めします。 、数字、句読点、その他の文字。
悪意のある攻撃者によって簡単にクラックされる可能性のある潜在的に脆弱なパスワードをテストするため。
これにより、特定の会社のパスワードポリシーの状態を示すことができます。これは、特定の状況で問題になる可能性があります。
弱いパスワードがたくさん見つかった場合、ペンテスターは、より良いパスワードポリシーを変更して施行するように会社に提案することができます。
もちろん、パスワードのリストを渡すように会社に依頼する理由はない。おそらく、ユーザーデータベースを侵害した後に見つかったパスワードのリストか、Linuxシャドウファイルの可能性があります。
これを同じIP番号からrootアカウントで実行し、ファイアウォールをオフにしてsshdを起動した場合-これは間違いなく危険です:-)
ps。パスワードはプレーンテキストで使用しないでください。ユーザーのメモリにのみ保存する必要があります。ユーザーパスワードのリストを処理することは、深刻な問題です。
最善の方法は、パスワードの変更にニースポリシーを適用して期限切れにすることです。これにより、ユーザーにパスワードの変更を求められた後、すべてが問題なく、パスワードが強力であることがわかります。そして、それらはソルトハッシュとして、できれば100.000倍にハッシュして保存する必要があります。