Controler la robustesse des mots de passe dans un domaine NT4
8 réponses
Fidji
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe
répondant au critères élementaires de sécurité (trivialité, robustesse etc).
Idéalement je voudrais un indice de robustesse pour tout partie des
utilisateurs
du domaine.
Est-ce que vous connaissez un soft qui fait cela ?
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc).
Pour Unix, il y a canoniquement la cracklib <URL: http://www.crypticide.org/users/alecm/ >. Je ne sais pas s'il est possible de l'adapter à windows.
Dominique Blas
[...]
Est-ce que vous connaissez un soft qui fait cela ?
Je ne connais pas précisément de logiciels pour cela, du moins pour une plate-forme Windows mais Microsoft a << exfiltré >> un << hook >> afin de permettre à une tierce partie d'établir une politique différente que la politique par défaut au niveau du choix du mot de passe.
La réponse est donc OUI et il existe des logiciels pour cela sur la plate-forme Win32.
Pour le reste voir Google.
db
--
Courriel : usenet blas net
[...]
Est-ce que vous connaissez un soft qui fait cela ?
Je ne connais pas précisément de logiciels pour cela, du moins pour une
plate-forme Windows mais Microsoft a << exfiltré >> un << hook >> afin
de permettre à une tierce partie d'établir une politique différente que
la politique par défaut au niveau du choix du mot de passe.
La réponse est donc OUI et il existe des logiciels pour cela sur la
plate-forme Win32.
Est-ce que vous connaissez un soft qui fait cela ?
Je ne connais pas précisément de logiciels pour cela, du moins pour une plate-forme Windows mais Microsoft a << exfiltré >> un << hook >> afin de permettre à une tierce partie d'établir une politique différente que la politique par défaut au niveau du choix du mot de passe.
La réponse est donc OUI et il existe des logiciels pour cela sur la plate-forme Win32.
Pour le reste voir Google.
db
--
Courriel : usenet blas net
Fidji
"Nicolas George" <nicolas$ a écrit dans le message de news: d7lghe$2qao$
Fidji wrote in message <429e070b$0$22611$:
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc).
Pour Unix, il y a canoniquement la cracklib <URL: http://www.crypticide.org/users/alecm/ >. Je ne sais pas s'il est possible de l'adapter à windows.
Merci, j'ai cherché mais nada pour windows. Il y avait bien L0pht qui je crois faisait cela, mais le site n'existe plus. Il faudrait que je trouve une ancienne version.
"Nicolas George" <nicolas$george@salle-s.org> a écrit dans le message de
news: d7lghe$2qao$1@biggoron.nerim.net...
Fidji wrote in message <429e070b$0$22611$626a14ce@news.free.fr>:
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe
répondant au critères élementaires de sécurité (trivialité, robustesse
etc).
Pour Unix, il y a canoniquement la cracklib <URL:
http://www.crypticide.org/users/alecm/ >. Je ne sais pas s'il est possible
de l'adapter à windows.
Merci, j'ai cherché mais nada pour windows.
Il y avait bien L0pht qui je crois faisait cela, mais le site n'existe plus.
Il faudrait que je trouve une ancienne version.
"Nicolas George" <nicolas$ a écrit dans le message de news: d7lghe$2qao$
Fidji wrote in message <429e070b$0$22611$:
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc).
Pour Unix, il y a canoniquement la cracklib <URL: http://www.crypticide.org/users/alecm/ >. Je ne sais pas s'il est possible de l'adapter à windows.
Merci, j'ai cherché mais nada pour windows. Il y avait bien L0pht qui je crois faisait cela, mais le site n'existe plus. Il faudrait que je trouve une ancienne version.
Pascal Legrand
-------- Message original --------
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc). Idéalement je voudrais un indice de robustesse pour tout partie des utilisateurs du domaine. Est-ce que vous connaissez un soft qui fait cela ? John the ripper ???
-------- Message original --------
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe
répondant au critères élementaires de sécurité (trivialité, robustesse etc).
Idéalement je voudrais un indice de robustesse pour tout partie des
utilisateurs
du domaine.
Est-ce que vous connaissez un soft qui fait cela ?
John the ripper ???
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc). Idéalement je voudrais un indice de robustesse pour tout partie des utilisateurs du domaine. Est-ce que vous connaissez un soft qui fait cela ? John the ripper ???
Vincent Bernat
OoO En ce milieu de nuit étoilée du jeudi 02 juin 2005, vers 04:01, Nicolas George <nicolas$ disait:
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc).
Pour Unix, il y a canoniquement la cracklib <URL: http://www.crypticide.org/users/alecm/ >. Je ne sais pas s'il est possible de l'adapter à windows.
Pour Windows, si les mots de passe sont de type NTLM, il faut contrôler les deux parties du mot de passe. -- # Basic IBM dingbats, some of which will never have a purpose clear # to mankind 2.4.0 linux/drivers/char/cp437.uni
OoO En ce milieu de nuit étoilée du jeudi 02 juin 2005, vers 04:01,
Nicolas George <nicolas$george@salle-s.org> disait:
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe
répondant au critères élementaires de sécurité (trivialité, robustesse etc).
Pour Unix, il y a canoniquement la cracklib <URL:
http://www.crypticide.org/users/alecm/ >. Je ne sais pas s'il est possible
de l'adapter à windows.
Pour Windows, si les mots de passe sont de type NTLM, il faut
contrôler les deux parties du mot de passe.
--
# Basic IBM dingbats, some of which will never have a purpose clear
# to mankind
2.4.0 linux/drivers/char/cp437.uni
OoO En ce milieu de nuit étoilée du jeudi 02 juin 2005, vers 04:01, Nicolas George <nicolas$ disait:
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc).
Pour Unix, il y a canoniquement la cracklib <URL: http://www.crypticide.org/users/alecm/ >. Je ne sais pas s'il est possible de l'adapter à windows.
Pour Windows, si les mots de passe sont de type NTLM, il faut contrôler les deux parties du mot de passe. -- # Basic IBM dingbats, some of which will never have a purpose clear # to mankind 2.4.0 linux/drivers/char/cp437.uni
Cedric Blancher
Le Thu, 02 Jun 2005 06:21:36 +0000, Fidji a écrit :
Il y avait bien L0pht qui je crois faisait cela, mais le site n'existe plus. Il faudrait que je trouve une ancienne version.
Ça s'appelle LC5 maintenant :
http://www.atstake.com/products/lc/
-- Dans le but d'éviter de polluer le groupe fr.bio.canaux.ioniques de méta-discussions sur le création de ce groupe, sa vie, son oeuvre, je propose la création d'un groupe fr.bio.canaux.ioniques.d -+- MB in: Guide du Cabaliste Usenet - Charte de fr.cabaleionique.d -+-
Le Thu, 02 Jun 2005 06:21:36 +0000, Fidji a écrit :
Il y avait bien L0pht qui je crois faisait cela, mais le site n'existe plus.
Il faudrait que je trouve une ancienne version.
Ça s'appelle LC5 maintenant :
http://www.atstake.com/products/lc/
--
Dans le but d'éviter de polluer le groupe fr.bio.canaux.ioniques de
méta-discussions sur le création de ce groupe, sa vie, son oeuvre,
je propose la création d'un groupe fr.bio.canaux.ioniques.d
-+- MB in: Guide du Cabaliste Usenet - Charte de fr.cabaleionique.d -+-
Le Thu, 02 Jun 2005 06:21:36 +0000, Fidji a écrit :
Il y avait bien L0pht qui je crois faisait cela, mais le site n'existe plus. Il faudrait que je trouve une ancienne version.
Ça s'appelle LC5 maintenant :
http://www.atstake.com/products/lc/
-- Dans le but d'éviter de polluer le groupe fr.bio.canaux.ioniques de méta-discussions sur le création de ce groupe, sa vie, son oeuvre, je propose la création d'un groupe fr.bio.canaux.ioniques.d -+- MB in: Guide du Cabaliste Usenet - Charte de fr.cabaleionique.d -+-
David Bizeul
Pour Windows, si les mots de passe sont de type NTLM, il faut contrôler les deux parties du mot de passe.
Les hash LanMan sont stockés en deux parties chiffrées en DES par une valeur fixe Les hash NTLM sont eux, stockées en MD4 Les hash sont obfusqués par le RID pour ne pas faire apparaitre les mots de passe identique dans l'AD/SAM
Désactiver le stockage en LM et les challenges réponse en LM, les 2 cas permettent de facilement casser le mot de passe, même s'il est en NTLM HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaNoLMHASH=1 "Send NTLMv2 response onlyrefuse LM & NTLM" dans outils d'admin-> stratégie locale -> options de securité-> sécurité réseau authent lanman = autoriser seulement ntlmv2
Pour Windows, si les mots de passe sont de type NTLM, il faut
contrôler les deux parties du mot de passe.
Les hash LanMan sont stockés en deux parties chiffrées en DES par une
valeur fixe
Les hash NTLM sont eux, stockées en MD4
Les hash sont obfusqués par le RID pour ne pas faire apparaitre les mots
de passe identique dans l'AD/SAM
Désactiver le stockage en LM et les challenges réponse en LM, les 2 cas
permettent de facilement casser le mot de passe, même s'il est en NTLM
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaNoLMHASH=1
"Send NTLMv2 response onlyrefuse LM & NTLM" dans outils d'admin->
stratégie locale -> options de securité-> sécurité réseau authent lanman
= autoriser seulement ntlmv2
Pour Windows, si les mots de passe sont de type NTLM, il faut contrôler les deux parties du mot de passe.
Les hash LanMan sont stockés en deux parties chiffrées en DES par une valeur fixe Les hash NTLM sont eux, stockées en MD4 Les hash sont obfusqués par le RID pour ne pas faire apparaitre les mots de passe identique dans l'AD/SAM
Désactiver le stockage en LM et les challenges réponse en LM, les 2 cas permettent de facilement casser le mot de passe, même s'il est en NTLM HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaNoLMHASH=1 "Send NTLMv2 response onlyrefuse LM & NTLM" dans outils d'admin-> stratégie locale -> options de securité-> sécurité réseau authent lanman = autoriser seulement ntlmv2
Fidji
Merci, cela donne le résultat attendu. Il faut juste faire un scriptage pour n'extraire que le temps de crack comme indicateur de robustesse. Ceci dit vu le temps qu'a mis la station pour cracker un mot de passe supposé robuste, bof. Je crains que les consignes de sécurité que l'on veut nous voir appliquer ne servent qu'à se donner bonne conscience
"Pascal Legrand" a écrit dans le message de news: 429ea908$0$28545$
-------- Message original --------
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc). Idéalement je voudrais un indice de robustesse pour tout partie des utilisateurs du domaine. Est-ce que vous connaissez un soft qui fait cela ? John the ripper ???
Merci, cela donne le résultat attendu. Il faut juste faire un scriptage pour
n'extraire
que le temps de crack comme indicateur de robustesse.
Ceci dit vu le temps qu'a mis la station pour cracker un mot de passe
supposé
robuste, bof. Je crains que les consignes de sécurité que l'on veut nous
voir appliquer
ne servent qu'à se donner bonne conscience
"Pascal Legrand" <Pascal.Legrand.nospam@univ-orleans.fr> a écrit dans le
message de news: 429ea908$0$28545$626a14ce@news.free.fr...
-------- Message original --------
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe
répondant au critères élementaires de sécurité (trivialité, robustesse
etc).
Idéalement je voudrais un indice de robustesse pour tout partie des
utilisateurs
du domaine.
Est-ce que vous connaissez un soft qui fait cela ?
John the ripper ???
Merci, cela donne le résultat attendu. Il faut juste faire un scriptage pour n'extraire que le temps de crack comme indicateur de robustesse. Ceci dit vu le temps qu'a mis la station pour cracker un mot de passe supposé robuste, bof. Je crains que les consignes de sécurité que l'on veut nous voir appliquer ne servent qu'à se donner bonne conscience
"Pascal Legrand" a écrit dans le message de news: 429ea908$0$28545$
-------- Message original --------
Je voudrais m'assurer que les utilisateurs ont bien un mot de passe répondant au critères élementaires de sécurité (trivialité, robustesse etc). Idéalement je voudrais un indice de robustesse pour tout partie des utilisateurs du domaine. Est-ce que vous connaissez un soft qui fait cela ? John the ripper ???