[Niceday]

Talán megér egy új témát ez a cikk, hogy egy helyen legyenek a jó tanácsok ezzel kapcsolatban, már ha vannak:

"Félelmetes sebességgel töri fel a biztonságosnak hitt jelszavakat a szivárványtábla-módszer. Kipróbáltuk, megijedtünk, aztán megnéztük, hogyan lehet védekezni ellene."

Idézet

Milyen a jó jelszó? Hosszú, tartalmaz kis- és nagybetûket, számokat, lehetõleg nincs benne értelmes szó, és nehezen jegyezhetõ meg. Például "Fgpyyih804423" - erre a legháklisabb rendszergazda is jó eséllyel elismerõen bólintana, annak biztos tudatában, hogy napokba, talán hetekbe telne egy kódtörõ programnak, mire megfejti. Képzeletbeli rendszergazdánk valószínûleg heves csuklással reagálna az interneten szabadon elérhetõ Ophcrack programra, ami ezt a jelszót pontosan 160 másodperc alatt törte fel ...

folytatás a cikkben.

[dungeon]

Idézet: Niceday - Dátum: 2007. szept. 24., hétfõ - 0:20

Talán megér egy új témát ez a cikk, hogy egy helyen legyenek a jó tanácsok ezzel kapcsolatban, már ha vannak:

Részlet a cikkbõl:

"A legmegnyugtatóbb pedig, hogy a rendszer egyelõre csak a Lan Manager hash algoritmussal bír el, a Windows Vista és a Windows Server 2008 pedig már az eggyel modernebb, NT hash algoritmussal titkosít."

Az LM közismerten gyenge algoritmus (hagyományos Brute Force-szal is jól támadható).

[Lulu64]

Idézet: Niceday - Dátum: 2007. szept. 24., hétfõ - 0:20

Talán megér egy új témát ez a cikk, hogy egy helyen legyenek a jó tanácsok ezzel kapcsolatban, már ha vannak:

Kikapcsolni az LM használatát. Ez amúgy ~4-5 éves hír. 

[Jahno]

Idézet: Lulu64 - Dátum: 2007. szept. 24., hétfõ - 17:19

Kikapcsolni az LM használatát. Ez amúgy ~4-5 éves hír. 

Átkeresztelték a "szótárt" "szivárványnak". Abból már 10 éve a join is szépen melózott, akinek a jelszóállomány a kezébe került, annak úgyis lehetett mindent.

Azért a legdurvább 37 karakteres jelszavam meglesném mire megy vele, természetesen nem csak kis-nagybetû meg szám van benne

[bundas]

Lanmant nem zavarná azt a jelszót. Kisbetû-nagybetû konverzióval kezdi. Utána levágja a 14 karakter feletti részt stb. Szóval a "hogy ne csináljuk" iskolapéldája.

[schuberth]

Ha jol emlekszem ez csak NTLMv1 eseten problema, NTLMv2 hasznalva mar nincs gond. A bibi ott van, hogy Winfos sorban probalkozik visszafele a standardokkal (NTLMv2, NTLMv1, LM, ... remelem itt mar megall ) . Ha a jelszo 14 karakternel rovidebb, akkor tenyleg konnyen feltorheto ilyen "rainbow" kodokkal, hiszen akkor meg sima LM hash-t is elkuldi. Meg sugarzik is a jelszavakat, az "Automatically search for network fodlers and printers" opcio miatt mindenhova probal bejelentkezni. Nagyon, de nagyon ajanlatos ezt az opciot kikapcsolni laptopokon.

Windows 2003-nal defaultbol mar csak es kizarolag NTLMv2 megy, azaz nagyabol biztonsagos, de regi kliensek miatt (Win98, egyes proxy szerverek, halozati nyomtatok, stb.) gyakran vissza kell venni a biztonsagbol es engedelyezni a regebbi standardokat.

[sysmaster]

kipróbáltam az ophcrack liveCD-t. a gazdagépen windows xp sp2 volt és 8 account közül 7-et felnyomott fél óra alatt, ezek 8 karakteres kisbetûnagybetûszám, nem szótari szavak voltak.