Zum Inhalt wechseln


Foto

Tool um Passwort Sicherheit zu Prüfen


  • Bitte melde dich an um zu Antworten
16 Antworten in diesem Thema

#1 genab.de

genab.de

    Senior Member

  • 480 Beiträge

 

Geschrieben 27. Februar 2007 - 07:42

Hallo,

meine Chefs wollen einfach nicht kapieren, das Sie sichere Passwörter Brauchen.

Für die ist Sonne666! ein megasicheres Passwort,

weil Großbuchstaben, Zahlen und ein Sonderzeichen vorkommt.

Nun haben wid in der AD die Komplexität zwear schon raufgesetzt. Aber gute Passwörter nehmen die Herren Chefs trotzdem nicht.


Giebt es ein kleines Tool, wo m,an sein verwendetesmein Passwort eingeben kann, und dann grafisch sieht, ob es sicher oder unsicher ist.

Denn dann könnte ich die Passwörter meiner Chefs duch Sie selber prüfen lassen.


Bisher finde ich nur Webservices, aber das geht auf gar keinen Fall, weil ich ja dann die Passwörter übers Netz schicke:

Status: (seid 2006)

MCSA/MCSE 2003 + Security (70-210 ; 70-270 ; 70-290 ; 70-291 , 70-227 ; 70-294, 70-293, 70-298, 70-299)

MCTS Exchange 2007 Config: 70-236

 

Plan:  MCSA 2008 und dann wieder MCSE2013

Hilf und dir wird geholfen :-)


#2 rakli

rakli

    Board Veteran

  • 1.709 Beiträge

 

Geschrieben 27. Februar 2007 - 08:12

Hallo genab.de,

ruf mal die url auf - Kennwortprüfer von microsoft Schweiz

http://www.microsoft.com/switzerland/athome/de/security/privacy/password_checker.mspx

(Das ist kein Link, ich bekomme mit ie7 keine Links eingefügt)

Gruss Rakli

#3 checkms

checkms

    Board Veteran

  • 862 Beiträge

 

Geschrieben 27. Februar 2007 - 08:17

passwortgenerator - Google-Suche
Freeware :wink2:

@rakli
Das will er ja nicht...

Bisher finde ich nur Webservices, aber das geht auf gar keinen Fall, weil ich ja dann die Passwörter übers Netz schicke


Gruß checkms

P.S. Wer Rechtschreibfehler findet, darf sie behalten! :D

#4 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 27. Februar 2007 - 10:35

Was ist gegen ein PW der Art Sonne666!, also ein doch komplexes, einzuwenden?

Hast du deine Bedenken mal schriftlich formuliert, belegt und vorgelegt?

Verantwortlich sind deine Chefs selbst, nicht du. Mache dich da nicht unnötig unbeliebt!

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#5 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 27. Februar 2007 - 11:17

HI
mach ihnen doch einen konstruktiven Vorschlag
S!onne666 oder SonnE666! macht das Passwort nicht wesentlich schwerer zu merken, aber hilft merklcih gegen Wörterbuchattacken. Die üblichen Kennwortprüfer berücksichtigen diese Art des PW-Hackings nicht. Für diese Tools ist Sommer123 für Millionen von Jahren ein sicheres Passwort, für einen Wörterbuchangriff ist es eine Frage von Sekunden

cu
blub

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#6 nerd

nerd

    Moderator

  • 6.989 Beiträge

 

Geschrieben 27. Februar 2007 - 11:24

HI
mach ihnen doch einen konstruktiven Vorschlag
S!onne666 oder SonnE666! macht das Passwort nicht wesentlich schwerer zu merken, aber hilft merklcih gegen Wörterbuchattacken. Die üblichen Kennwortprüfer berücksichtigen diese Art des PW-Hackings nicht.

cu
blub


Hi,

dem muß ich leider wiedersprechen. Es dauert zwar ein gutes Stück länger bis ein solches PW "gefunden" wird - aber es ist noch immer unter 3 bis 5 Tagen möglich. Moderne cracker arbeiten auch mit mutationen und berücksichtigen solche Veränderungen. Gegen triviale try and error Attacken sollte es aber einen ausreichenden Schutz bieten.

Je nach dem wie groß das Unternehmen ist würde ich entweder (im Testlab mit Testaccounts) vorführen wie schnell ein modernes System die Passwörter der o. g. stärke entschlüsselt oder ich würde einen externen security Audit durchführen lassen - das überzeugt oft - auch wenn du schon jahre genau das sagt was dieser dann schwarz auf weiß im Bericht zu Tage fördert...

Gruß

:: www.ServerHowTo.de - Das MCSEboard.de HowTo Projekt!
:: www.SECURITY-BLOG.EU - DER Security BLOG!


#7 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 27. Februar 2007 - 12:09

Hallo Johannes,
bestreite ich ja auch gar nicht. In einer "Produktbeschreibung" habe ich mal gelesen, dass man die Wörterbücher an die Zielpersonen anpassen kann. Also wenn bekannt, dann kann der Hacker in das Wörterbuch "Firmenname, Namen von Ehefrau, Kinder, Papagei, Hund etc." hineinschreiben. Dann werden diese Grundwörter gleich zu Beginn der Attacke ganz besonders intensiv mutiert.

cu
blub

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#8 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 27. Februar 2007 - 13:29

S!onne666 oder SonnE666! macht das Passwort nicht wesentlich schwerer zu merken,

Es gibt Benutzer, die können sich gerade mal als Pw den Vornamen ihrer Schwester merken. Falls man dann noch eine einstellige Zahl und ein Sonderzeichen dazutrainieren kann, das ist dann schon ein Erfolg. Beim nächsten PW-Wechsel wird die Zahl dann einfach inkrementiert um eins.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#9 genab.de

genab.de

    Senior Member

  • 480 Beiträge

 

Geschrieben 28. Februar 2007 - 07:49

Programmieren müsste man können,

den anscheinend gibt es solch ein einfaches Tool nicht?

Zumindest einen Chef habe ich schon dazu gebracht, das er einen Satz bildet, und davon die Anfangsbuchstaben benutzt mit Sonderzeichen und mehreren Zahlen.


Und SonnE123 ist auch sehr schnell Kanckbar. Es giebt Tools die Arbeiten mit Fuzzy Logic, da werden Mutationen auch sehr schnell gefunden.

Gut, nach ein paar verasuchen wird das Kon to gesperrt,

vieleicht bin ich auch Paranoid



Aber wenn bei uns in der Firma jemand einbricht und Daten klaut, dann war nicht dere Chef schuld, der Sonne123 als Ps hatte,

sondern ich als Admin


Lieber bin ich da unbeliebt

Status: (seid 2006)

MCSA/MCSE 2003 + Security (70-210 ; 70-270 ; 70-290 ; 70-291 , 70-227 ; 70-294, 70-293, 70-298, 70-299)

MCTS Exchange 2007 Config: 70-236

 

Plan:  MCSA 2008 und dann wieder MCSE2013

Hilf und dir wird geholfen :-)


#10 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 28. Februar 2007 - 08:11

.....sondern ich als Admin...

Bist du in leitender Position, Geschäftsführer, Prokurist oder ähnliches? Darfst du gegenüber allen untergeordneten Personen des Unternehmens Weisungen erlassen. Bestimmst du die Verwaltungsverfahren im Unternehemen (mit)? Bist du der Leiter der EDV-Abteilung oder ein Schergenadmin?

Ich lese sowas nicht zum erstenmal.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#11 genab.de

genab.de

    Senior Member

  • 480 Beiträge

 

Geschrieben 28. Februar 2007 - 14:06

Ich bin einer von 2 Admins

beide gleich Wichtig

ich habe 6 Chefs - alle sehr Nett , aber Technisch ..... ist nicht Ihr Ding - deshalb sind die Admins ja da.


Beziehung zum Chef - sehr gut,


Deshalb wollte ich ihnen ja gerne zeiogen, das es da ein Tool giebt, das mit einem roten Balken Zeigt, das Passwort ist unsicher.


Erklären hilft da nix


Aber wenn daten weg sind, dann hab ich und mein Kollege den Streß

nicht mein chef

Status: (seid 2006)

MCSA/MCSE 2003 + Security (70-210 ; 70-270 ; 70-290 ; 70-291 , 70-227 ; 70-294, 70-293, 70-298, 70-299)

MCTS Exchange 2007 Config: 70-236

 

Plan:  MCSA 2008 und dann wieder MCSE2013

Hilf und dir wird geholfen :-)


#12 Lian

Lian

    Moderator

  • 19.990 Beiträge

 

Geschrieben 28. Februar 2007 - 14:09

Viele Tools, die ein Passwort "online" prüfen sind in JavaScript implementiert, das läuft komplett clientseitig. Das Passwort verlässt also zu keinem Zeitpunkt den Rechner...
–––
Microsoft MVP [Cloud and Datacenter Management - High Availability]

#13 lefg

lefg

    Expert Member

  • 20.479 Beiträge

 

Geschrieben 28. Februar 2007 - 14:27

Solch ein Tool könnte einen sicherheitsbewussten Benutzer bei seiner Einschätzung helfen, es könnte erziehend wirkend. Solch ein Tool bringt dem Admin aber nicht die Gewissheit. Es nützt doch aber nichts bei ignoranten oder dummen Usern. Denen muss die Kennwortrichtlinie das Maß setzen.

Ich meine mal etwas über zusätzlich implementierbaren Richtlinien von 3.Parties gelsen zu haben. Darin kann man wohl gewisse Ausschlüsse setzen. Ich könnte mir vorstellen eine Liste mit Vornamen, Nachnamen, Geburtsdaten.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#14 genab.de

genab.de

    Senior Member

  • 480 Beiträge

 

Geschrieben 28. Februar 2007 - 14:43

ja, es gibt Gruope Policy Erweiterungen, hab da mal was auf Gruppenrichtlinien - Übersicht, FAQ und Tutorials gelesen, irgendwo in den links. Natürlich nicht umsonst.

Da die Beziehung zwischen Admins und Chef so gut will ich das nicht einfach so reglementieren.

Ich will Usern immer zu mündigen Usern erziehen. Mir ist bewusst, das ich mir damit viel Arbeit einhandle,

aber nur so macht es mir auch Spass, :cool:

wenn ich nach z.B 2 jahren wieder zu einer neuen Firma weiter ziehe, und weiß, das die IT in der alten Firma nicht deshalb sicher war, weil Sie 10 stellige Passwörter benutzen mussten. Sondern weil ich den Leuten beigebracht habe, wie man mit sicherer Technik umgeht.

@Lian --> weißt du eine Seite, wo das Passwort durch ein Active X Applet geprüft wird.
Das würde gehen. Ich denke wenn die das einmal gesehen haben, dann habens die das kapiert.

Status: (seid 2006)

MCSA/MCSE 2003 + Security (70-210 ; 70-270 ; 70-290 ; 70-291 , 70-227 ; 70-294, 70-293, 70-298, 70-299)

MCTS Exchange 2007 Config: 70-236

 

Plan:  MCSA 2008 und dann wieder MCSE2013

Hilf und dir wird geholfen :-)


#15 Lian

Lian

    Moderator

  • 19.990 Beiträge

 

Geschrieben 28. Februar 2007 - 15:33

Ich rede von JavaScript, bei ActiveX wäre ich vorsichtig.

Einfach mal suchen: javascript password strength - Google Search

Alternativ kannst Du auch selbst so eine HTML/JS Seite anbieten zB. in Eurem Intranet.
–––
Microsoft MVP [Cloud and Datacenter Management - High Availability]