einstein 10 Geschrieben 20. Juli 2009 Melden Teilen Geschrieben 20. Juli 2009 Hallo, ich frage mich wie sicher ein Windows Kennwort unabhängig von der Länge usw. überhaupt ist. Es gibt ja diverse Tools mit denen sich solche Passwörter sehr leicht auslesen bzw. knacken lassen. Nun ist die Frage ob dies auch für Domänenkennwörter gilt. Meines Erachtens zumindest für diese welche auch lokal auf dem Rechner angemeldet waren. Diese müssen ja irgendwo gespeichert werden bzw. deren Hash. Worau ich hinaus will ist, wie sicher ist das alles? Weil derzeit vermute ich das man mit relativ einfachen Mitteln z.B. ein Dom Admin Kennwort knacken kann. Es muss sich eben nur einmal einer auf dem betreffenden Rechner angemeldet gewesen sein. Was meint Ihr wie ist hier die Lage? Ich hoffe ich irre mich. Link zu diesem Kommentar
LukasB 10 Geschrieben 20. Juli 2009 Melden Teilen Geschrieben 20. Juli 2009 ich frage mich wie sicher ein Windows Kennwort unabhängig von der Länge usw. überhaupt ist. Sicher genug für die Bedürfnisse von kleineren Unternehmungen. Grössere Firmen sollten unbedingt Mehrfaktorauthentifizierung mit Smartcards, RSA Token oder ähnlichem in Betracht ziehen. Meines Erachtens zumindest für diese welche auch lokal auf dem Rechner angemeldet waren. Diese müssen ja irgendwo gespeichert werden bzw. deren Hash. Bei lokalen Anmeldungen (Credential Caching) passiert dies, ja. Bei Anmeldungen via Kerberos (Remote-Zugriff auf den Client) passiert dies nicht. Worau ich hinaus will ist, wie sicher ist das alles? Weil derzeit vermute ich das man mit relativ einfachen Mitteln z.B. ein Dom Admin Kennwort knacken kann. Es muss sich eben nur einmal einer auf dem betreffenden Rechner angemeldet gewesen sein. Gerade wenn die Benutzer lokale Adminrechte haben ist es relativ unsicher sich mit Domain-Administrator Privilegien am Client anzumelden. Dann könnten Keylogger oder Rootkits aktiv sein, welche das eingegebene Passwort direkt aufzeichnen. Aber selbst wenn dies nicht der Fall ist könnte z.B. ein Hardwarekeylogger zwischen Keyboard und Computer die Daten aufzeichnen. Beide diese Varianten sind viel weniger aufwendig als das cracken der Cached Credentials. Aus diesem Grund empfiehlt es sich auch nicht, mit Domain-Administrator Privilegien sich überall anzumelden. Mit Mandatory Groups in den Gruppenrichtlinien kannst du passende Gruppen erzeugen welche gewissen Konten auf gewissen Rechnern lokale Adminrechte geben. Damit kannst du sicherstellen das so eine Kompromittierung nur sehr geringe Auswirkungen hat. Link zu diesem Kommentar
einstein 10 Geschrieben 20. Juli 2009 Autor Melden Teilen Geschrieben 20. Juli 2009 Vielen Dank für deine ausführliche Antwort! Wobei mich das Thema Passwort Cracken doch noch mehr interessiert als die Keylogger bzw. Hardwaregeschichten. Liege ich damit richtig das diverse Tools dies leicht ermöglichen? Link zu diesem Kommentar
blub 115 Geschrieben 20. Juli 2009 Melden Teilen Geschrieben 20. Juli 2009 Wobei mich das Thema Passwort Cracken doch noch mehr interessiert als die Keylogger bzw. Hardwaregeschichten. Hallo, Zu diesem Thema sind wir das falsche Forum Danke für dein Verständnis blub Link zu diesem Kommentar
Empfohlene Beiträge