Debian 6
MIT Kerberos, то есть krb5
Я хочу иметь возможность периодически проверять / тестировать пароли на нашем сервере Kerberos для проверки качества. Если пароли можно быстро взломать, я хочу уведомить пользователей об изменении их паролей и т. Д.
Я администрирую сервер Kerberos. Я могу использовать kdb5_udil для сброса базы данных. Я не знаю, что делать после этого.
Какие есть хорошие инструменты и способы аудита / тестирования паролей MIT Kerberos krb5?
Примечание:
Я читал, что Джон Потрошитель может это сделать, но пока не добился успеха. Я попытался указать unafs на свой дамп, и он запрашивает файл базы данных и имя ячейки. Я не знаю, как называется ячейка, и предполагаю, что это относится к Kerberos / AFS, а не к файлу дампа из KDC?
Я не уверен, какие есть инструменты, но у меня есть несколько рекомендаций по повышению безопасности даже при использовании более слабых паролей. Во-первых, по возможности используйте предварительную аутентификацию. Это флаг, установленный в базе данных Kerberos для участников, и его можно настроить по умолчанию для новых участников. Без предварительной аутентификации кто-то может запросить билет Kerberos, не зная пароля пользователя. Хотя они еще не могут его использовать, они могут хранить его в автономном режиме и неоднократно пытаться расшифровать этот билет и различные пароли, пока они не будут успешными. Скорее всего, к тому времени срок действия билета истечет, а пароля не будет. Теперь они могут запросить другой билет, зная пароль пользователя. Для предварительной аутентификации требуется подтверждение знания пароля, прежде чем сервер Kerberos предложит пользователю билет для расшифровки.
Во-вторых, помните, какие алгоритмы и соли вы разрешаете для Kerberos. У каждого алгоритма есть своя функция преобразования строки в ключ, в которую преобразуется пароль. Чем сложнее функция преобразования строки в ключ, тем сложнее ее подобрать. Как правило, шифрование AES имеет гораздо лучший алгоритм преобразования строки в ключ. Это отдельно от того факта, что сам по себе AES является лучшим шифрованием. Даже если клиенты запрашивают только шифрование AES, если Kerberos хранит ключи DES или 3DES для пользователя, их можно будет запросить, что упростит перебор. Также убедитесь, что используете только соли v5. Более старые версии Kerberos не использовали «соль» (иногда называемую «солью v4») и шифрование DES. Если вы не используете соль, то для подбора пароля можно использовать простую предварительно сгенерированную таблицу поиска паролей и их ключей шифрования. Соль добавляет уникальное значение, имя пользователя и область к их паролю, чтобы гарантировать, что их ключи шифрования уникальны даже для того же пароля, что и у другого пользователя или области.