User
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
В Windows насколько я знаю, хеши несоленые. И по моему с этим ничего сделать нельзя. По крайней мере я не знаю.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
Вы же можете просто купить ПО и все сделать самостоятельно. Тогда от конторы Вы будете получать только техподдержку (по необходимости). И в принципе пускать какую то контору, которая настраивает что то с доступом/паролями и не дает прав на изменение (т.е. контроль над моей системой/сетью) на мой взгляд странно.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
Сейчас много контор предлагают OTP на базе смартфонов. Типа Google Authenticator.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
Интересный продукт. Но покупка ПО у нас не так быстра, как хотелось. Поэтому пока выкручиваемся подручными инструментами.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
Согласен. Метод не идеален. Будем дорабатывать. Но в моем случае это лучше, чем ничего.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
В корпоративной сети как раз актуальна. Т.к. если мы знаем пароль, то пользователь может оспорить какие-либо свои действия в будущем, мотивируя тем, что его пароль был известен аудитору. Задача как раз не забрутфорсть пароль, а предупредить простой брутфорс в будущем.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
Мой косяк. Спасибо. Исправил.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
С помощью Hashcat я не уверен, что можно обеспечить конфиденциальность пароля. Одной из целей было именно не раскрыть пароль пользователя, но при этом сообщить о том, что пароль слабый. В моем варианте я знаю, что хеш совпадает с хешем из словаря. Но т.к. хеши из словаря отсортированы, то у меня нет прямого сопоставления хеша и слова.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
Словарь может быть разным. В моем случае это не просто словарь состоящий из слов, а словарь состоящий в том числе из паролей утекших на разных ресурсах. Типа LinkedIn. И там такие пароли в большинстве своем присутствуют.
Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля
107 учеток из примерно 23000.