Passwörter mit John the Ripper testen

Leichtes Spiel

Obwohl es heutzutage viele Alternativen zu Passwörtern gibt, setzen sich diese zur Authentifikation von Benutzern nicht wirklich durch. Solange aber Passwörter im Einsatz sind, verwenden Benutzer oft schwache oder bereits geleakte Varianten. Um Firmenkonten zumindest zum Teil vor entsprechenden Angriffen zu schützen, sollten Sie einen Blick auf die hinterlegten Kennwörter Ihrer User werfen. Der Security-Tipp in diesem Monat zeigt, wie Sie dies mit John the Ripper für Ihre regelmäßigen Pentests umsetzen.
Die Endgeräte der Mitarbeiter sind das Einfallstor für Malware und Hacker schlechthin. Wie Sie hier für deutlich mehr Sicherheit sorgen, erfahren Sie in der ... (mehr)

Der Faktor "Wissen" ist nach wie vor der dominierende bei der Authentisierung von Benutzern. Im Gegensatz zu den anderen Faktoren "Besitz" und "Biometrie" lässt sich ein gewähltes Passwort in gewissem Maße auch vor Diebstahl schützen. Genauso wie die beiden anderen Faktoren hat aber das Passwort ein Problem: Kennt ein Angreifer das Kennwort als Komponente bereits oder stiehlt er es, bietet es keinen Schutz mehr. Um an Zugangsdaten zu gelangen, greifen Cyberkriminelle daher zu unterschiedlichen Tricks.

Mit der Brechstange

Schwache Passwörter sind in aller Munde. Als Verantwortlicher haben Sie mit Passwortrichtlinien etwa in Ihrem Active Directory die Möglichkeit, Angreifern das Leben etwas schwerer zu machen. Bei Bruteforce-Attacken probiert ein Angreifer alle möglichen Zeichenkombinationen für ein Passwort gegen ein Authentifikations-Backend oder gleicht dieses mit einer Liste gehashter Passwörter ab. Gegen derartige Angriffe geschützte Kennwörter sind möglichst lang und setzen sich aus einer großen Auswahl an möglichen Zeichen zusammen (Entropie). Das erhöht

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023