パスワードを知らなくてもパスワードの強度を判断することはできますか？

彼らがその結論を導き出した情報を彼らが思いついた方法は2つあると思います。

1. 彼らはnet accounts /domain組織のパスワードの複雑さの要件をダンプしたユーザーのコンピューターでのコマンド（Windows/Active Directoryを想定）
2. 強制された（または推測された）ユーザーパスワードは脆弱であるため、ブルート攻撃に成功しました。 LinkedInのような最近のパスワードダンプにより、ペンテスターがパスワードを解読するために現場で使用している実際のパスワードの山が提供されています。

それ以上の情報がなければ、彼らがどのようにしてその結論に達したかはわかりません（私たちは赤いチームが何をしたのか、または何が範囲内にあったのかわかりません）。

はい、可能です。

Windowsネットワークは Nullセッション攻撃 に対して脆弱である可能性があり、攻撃者がシステムの詳細を 列挙することを可能にします ：

... IPC $への匿名アクセスを取得します。デフォルトでは、Windows NTファミリホストは、NetBIOSを介したシステムおよびネットワーク情報への匿名アクセスを許可しているため、以下を収集できます。

• ユーザーリスト
• マシンリスト
• NetBIOS名リスト
• 共有リスト
• パスワードポリシー情報
• グループとメンバーのリスト
• ローカルセキュリティ機関のポリシー情報
• ドメインとホスト間の情報を信頼する

適切で完全かつ専門的なペンテストレポートには、すべての調査結果を詳細に含める必要があります。結論を出す方法だけでなく、使用した方法や、証拠のスクリーンショットも記載する必要があります。そうでない場合は、詳細を尋ねることができ、詳細を説明または提供する義務があります。

とは言っても、詳細はありませんが、一般的にパスワードポリシーを見つけることができると思います。それに基づいて、パスワードポリシーが弱いか不完全であると思われる場合は、変更または改善することをお勧めします。それでも、そのポリシーのためだけに、特定のユーザーパスワードが弱いと想定することはできません。それほど強力ではないパスワードポリシーを使用しても、複雑なパスワードや強力なパスワードが作成される場合があります（場合によっては）。

ほとんどの弱点は、適切なパスワードポリシーに関係なく、ユーザーが弱いパスワードを選択した場合に発生します。

私の後に繰り返します。パスワードを知っていても、パスワードの強度を判別することはできません。

もう一度：パスワードを知っていてもパスワードの強度を判別することはできません！

一方、あなたはcanパスワードポリシーのドキュメントを見て、パスワードの強さを知ることができます。パスワードポリシードキュメントでパスワードの生成方法が指定されていない場合は、パスワードポリシーが弱いため、パスワードの強度が弱いことは正しいものです。

適切なパスワードポリシーは、パスワードが表面的にどのように見えるかではなく、少なくともさまざまな安全なセクションとパスワード生成方法の最小エントロピー要件を指定します。

パスワードの保存方法に関する情報がいくつかある場合があります。例： Sharity Light guide 、セクション3では、互換性を高めるために "LmCompatibilityLevel" = dword：1 "を設定することを推奨しています。これにより、パスワードの安全性が低下します。

この場合、ユーザーが入力するのは検出された問題ではありません。ただし、参照されているのは、資格情報がどのように格納されるかです。そのようなストレージの詳細を変更することにより、結果は「パスワードを強化」した変更として合理的に説明できます。