Мне нужен инструмент, чтобы проверить, как долго пароль может выдержать технику взлома / взлома, такую как грубая сила, поскольку два пароля, которые имеют решающее значение для рабочей системы, - это одно слово, которое есть в словаре, а другое - слово в словарь с заглавной буквой и цифрой вместо буквы.
Я бы предпочел, чтобы он был автономным и бесплатным, чтобы вы могли запустить его на компьютере, чтобы узнать, как долго пароль продержится. Возможно, даже в приглашении на вход в Windows, но я понимаю, что такие программы могут быть теневыми и ошибочными на стороне незаконных.
У кого-нибудь есть предложения?
Если вы администратор и имеете разрешение использовать его в своей сети, это не является незаконным.
Если у вас уже есть пароль, вы можете легко приблизительно оценить его безопасность. Если это домен Windows, вы можете настроить политику на блокировку учетной записи после X неправильных попыток и указать, как долго блокировать учетную запись; это делает грубую форсировку крайне невыполнимой. Во-вторых, если пароль не основан на слове (или словах) в словаре, вы впереди. Комбинация прописных и строчных букв, цифр и, возможно, даже символов предотвратит взлом.
Увидеть, как долго хранится пароль, не является хорошей оценкой, поскольку вы не знаете, распределил ли потенциальный злоумышленник вычислительную мощность в своем распоряжении или какие мощности у него в любом случае. И если у вас уже есть пароль, не основанный на словарях, который регулярно меняется в сочетании с политиками блокировки, то ваши большие заботы переносятся на людей, занимающихся серфингом по плечу, социальной инженерией вашей системы или использованием регистраторов нажатия клавиш или снифферов, все из которых отображают пароль @ ## $% @ FFFES # @ 12 в любом случае примерно так же надежно, как и дом, обнесенный целлофаном.
Политики блокировки намного более эффективны, чем политики жестких паролей: если вы разрешите людям вводить относительно простые пароли, они с меньшей вероятностью запишут их на стикерах и прикрепят к нижней части клавиатуры.
Просто заблокируйте учетную запись после трех попыток и настройте ее на автоматическую разблокировку через 90 минут или около того. 48 попыток ввода пароля в день недостаточно, чтобы запустить простую атаку по словарю, не говоря уже о сложном брутфорсе. А анализ журнала должен сказать вам, действительно ли кто-то пытается подобрать пароль задолго до того, как это удастся.
Отключите LM-хэши и сделайте свои пароли настолько долго, насколько вы можете их выдерживать, желательно с паролями (для защиты от атак с радужной таблицей).
Схема LANManager имеет несколько слабых мест, включая преобразование всех символов в верхний регистр, разделение паролей на 7-байтовые блоки и отсутствие использования соли.
NTLM и NTLMv2 взломать значительно сложнее: такая фраза-пароль, как «Этот пароль чертовски надежен!» по длине взломать намного сложнее, чем "P4 $$ w0rd".
Обратите внимание на следующие причины, чтобы узнать, почему: http://www.ethicalhacker.net/content/view/94/24/