Passwordpolicy

En deze vraag durft een (collega) netwerkbeheerder nog te stellen.
Dan vraag ik mij af wat je niveau is en hoe jij überhaupt troubleshoot!

Maar goed.
Er zijn geen vaste regels voor wat betreft passwords voor Administrator.
Nu is het zo dat je in principe bij elk Netwerkbesturingssysteem het beheersaccount niet gebruikt. Je gebruikt dan een copy.

In mijn geval heb ik een password aangemaakt voor het administrator account en deze in een verzegelde envelop in een kluis gelegd.
Over het algemeen moet je geen korte passwords gebruiken. Als minimum begin ik te denken aan 8 karakters. Verwerk daarbij nog eens een hoofdletter en een vreemd teken... Dan krijg je al een heel behoorlijk wachtwoord. Neem geen makkelijk te raden wachtwoorden, zoals naam van je huisdier, vrouw, vriendin, etc.

Een idee: bedenk een makkelijk password en type deze in, MAAR 1 positie naar rechts. bijvoorbeeld: Donerkebab1. Dit wordt dan Fpmrtlrnsn2. Voeg daar nog bijv. @ aan toe en het raden wordt bijna onmogelijk.

Niet lullig bedoeld hoor, maar ik weet niet hoe kritisch jullie informatiesystemen zijn, maar ik zou NOOIT een adminstrator PW aan derden overleggen. Om wat voor reden dan ook... Misschien een ideetje om eens een goede Security audit te doen?? Of gaat dat wat te ver voor jullie bedrijf?

Het lijkt me toch wel ernstig slim , om bij de ontdekking dat de halve toko het admin (of admin equiv.) password weet een password change te doen.
Policy of geen policy.

Uiteraard gelden de standaard regels:

Maak een copy van de admin user
Wijzig het ww van "adminstrator/admin/supervisor" (afhankelijk van je NOS), en leg het ww in de kluis.
Geef de admin equiv. een moeilijk wachtwoord en wijzig deze eens in de maand
Geen hardcoded passwords
Geen documentatie van de passwords
Zo min mogelijk users admin equiv.

Nulnulnix schreef op 19 augustus 2002 @ 14:03:
En deze vraag durft een (collega) netwerkbeheerder nog te stellen.
Dan vraag ik mij af wat je niveau is en hoe jij überhaupt troubleshoot!

Ik kom regelmatig langs bij de wat kleinere Windows-shops (die van 10-50 users zeg maar) en ik kan je vertellen dat daar vaak weinig (lees: zo goed als niet) wordt nagedacht of gehandeld met betrekking tot wachtwoordpolicies.

Zo vreemd vind ik de vraag dus niet, aangezien daar vaak de meest handige windows-user de taak van "beheerder" krijgt toegewezen, en/of dit door een externe partij gebeurt die zo'n 15-20 van dergelijke shops loopt te troubleshooten.

Dan kun je wel van alle 15 de beheerders-passes een pwdfile aanleggen, maar je security is net zo sterk als de zwakste schakel in dit gebied.

Admin-passes wissel ik een keer in de maand, alfanumeriek met minimaal 12 karakters, geen re-used passes.
User-passwords wisselen ook normaliter een keer per maand, voor sommige shops is dat echter practisch geen doen door de gebruikte besturingssystemen en de gebruikers zelf.
Daar vind je dan ook vaak de post-its met passwords op de monitor geplakt enzo....

Of je moet het fijn vinden elke week 6x ergens op lokatie een pass te resetten omdat ze een wachtwoord van 12 karakters niet kunnen onthouden

er zijn aardige programma's om paswoorden op te slaan (passkeeper oid) en als je dat verder nog afschermt met ntfs rechten zodat alleen beheerders erbij kunnen ben je wel redelijk safe (je zal zeker zoiets moeten hebben, om bijv je backupopstart account te bewaren). verder gebruiken wij 1 beheer account voor alle klanten die aan een aantal voorwaarden moet voldoen... (het administrator account zelf niet gebruiken).
- geen opstartaccount zijn voor services oid
- niet te gebruiken in scripts
- paswoord min. 12 karakters met de hoofdletters en cijfers e.d. ... (overigens vind ik dat het wel makkelijk te onthouden moet zijn)
- elke 3 maanden wordt het pw gereset of in het geval van in het openbaarheid komen van het pw...

Als ik me het goed herinner slaat windows de passes op in blokken van 8 karakters. Dus buiten het moeilijk te volgen wat iemand intypt is het op l0pthhack nive niet interessant passwoorden langer dan 8 tekens te maken.

correct me if i'm worng

killah schreef op 20 augustus 2002 @ 14:23:
Als ik me het goed herinner slaat windows de passes op in blokken van 8 karakters. Dus buiten het moeilijk te volgen wat iemand intypt is het op l0pthhack nive niet interessant passwoorden langer dan 8 tekens te maken.

correct me if i'm worng

Ik begrijp geloof ik niet precies wat je bedoelt. Kun je het verduidelijken?

killah schreef op 20 augustus 2002 @ 14:23:
Als ik me het goed herinner slaat windows de passes op in blokken van 8 karakters. Dus buiten het moeilijk te volgen wat iemand intypt is het op l0pthhack nive niet interessant passwoorden langer dan 8 tekens te maken.

correct me if i'm worng

geen idee.. het zou kunnen... maar dan lijkt me dat je nog steeds 2 blokken moet kraken...

S1W schreef op 19 augustus 2002 @ 14:27:
Niet lullig bedoeld hoor, maar ik weet niet hoe kritisch jullie informatiesystemen zijn, maar ik zou NOOIT een adminstrator PW aan derden overleggen. Om wat voor reden dan ook... Misschien een ideetje om eens een goede Security audit te doen?? Of gaat dat wat te ver voor jullie bedrijf?

Je wilt niet weten bij hoeveel bedrijven het admin password (dan wel de username/pw combo's met admin rechten) publiek geheim zijn. Het wordt dan echt leuk als ze letterlijk het admin account hebben gebruikt voor diverse services. Kan je de zaak ook niet 123 meer wijzigen.

Dat zijn vaak de kleinere shops, maar ook bij middelgrote en grote bedrijven komt het voor dat passwordts veel (tot extreem) breder bekend zijn dan de bedoeling is.

v.w.b. password policies gebruik ik altijd de volgende richtlijnen :

- Administrator password - wachtwoord van 12 karakters waarbij 1e 6 karakters door mij worden getyped, de 2de 6 karakters worden door een ander getyped (bv de directeur of wie dan ook). Beide 6 letterige stukken in een verzegelde envelop in de kluis. Uiteraard wel gemerkt welke de 1e en welke de 2de set karakters bevat.

- Alle Administrative accounts moeten het wachtwoord minimaal elke 30 dagen wijzigen. (makkelijk nu met 2k dat je ze in een aparte OU kan stoppen en deze OU een afwijkende policie kan geven). Admin wachtwoorden moeten minimaal 12 karakters lang zijn en moeten minimaal 3 cijfers en 3 speciale tekens bevatten en mogen niet meer dan 3 opeenvolgende letters hebben.

- Alle service accounts worden elke 45 dagen gewijzigd en hebben dezelfde password restricties.

- Alle user accounts moeten elke 45 dagen een nieuw wachtwoord kiezen van mininmaal 9 karakters lang en dit moet minimaal 2 cijfers en een speciaal teken bevatten.

Verder wordt er gemonitored op ongebruikte accounts. Als een user of admin account langer dan 30 dagen niet inlogd wordt het gedisabled. Mensen die langer dan 1 week op vakantie of wat dan ook gaan moeten dit van te voren melden. Hun account wordt dan gedurende deze week gedisabled.

Accounts voor uitzendkrachten etc worden aangemaakt met een vervaldatum op de dag dat ze in principe volgens hun contract klaar zijn. Wordt dat contract verlengd, dan wordt ook de vervaldatum opgeschoven.

tss mrcyber

waar werk jij wel niet (defensie ofzo?)

ok, ik geef toe dat het op mijn werk nogal losjes is geregeld (maar mijn admin ww is iig geen publiek geheim).
user ww zijn errug simpel en hoeven niet per tijd veranderd te worden (admin ook niet).
Maar wij hebben ook geen gevoelige data en onze users 'gaan ook niet op onderzoek uit' (te dom )
Ook kan je bij ons niet van buitenaf inloggen (thuiswerken doen wij niet aan)

redelijk simpel systeempje dus.

ik denk dat policy's dus ook erg van de situatie afhangen.

en over de ww elektronisch opslaan: is de exel beveiligingscode al gekraakt? (hoe lang duren 12 karakters wel niet met brute force?)

mr_petit schreef op 21 augustus 2002 @ 23:51:
tss mrcyber

waar werk jij wel niet (defensie ofzo?)

Nee niet bij defensie. Momenteel bij HP, hiervoor bij een Software bedrijf en daarvoor bij lokale overheid. Deze policies waren van toepassing bij de lokale overheid job en heb ik meegenomen naar de vorige job. De huidige job komen ze ook nog wel eens, maar momenteel niet helaas.

ik kan me voorstellen dat bij overheidsinstanties er wel dat soort regels zijn (het zijn regels )

k ben zelf admin bij een adviesbureau (ong 60users in mijn beheer), en bij onze 'iso certificatie' werd er wel wat geschreven dat de directie dit soort maatregelen moet vaststellen (net zoals schrijfrechten e.d.), maar ze hebben geen flauw idee wat dat allemaal is..........en dus wel lekker opschrijven (het grote Iso9001 handboek.....click here to download )

Ik vind het dus wel belangrijk dat er dit soort policies zijn, maar ik vind het niet de taak van een systeembeheerder om dit soort regels te bedenken en te initieeren (op touw zetten e.d.).
Dit moet de directie doen (of in geval van grote bedrijven de hoogste it manager).
maar ja, helaas moeten admins de directie zo ongeveer drillen om ook maar enigzins aandacht (en tijd) voor dit soort problemen te krijgen

mr_petit schreef op 21 augustus 2002 @ 23:51:
tss mrcyber

waar werk jij wel niet (defensie ofzo?)

ok, ik geef toe dat het op mijn werk nogal losjes is geregeld (maar mijn admin ww is iig geen publiek geheim).
user ww zijn errug simpel en hoeven niet per tijd veranderd te worden (admin ook niet).
Maar wij hebben ook geen gevoelige data en onze users 'gaan ook niet op onderzoek uit' (te dom )
Ook kan je bij ons niet van buitenaf inloggen (thuiswerken doen wij niet aan)

redelijk simpel systeempje dus.

ik denk dat policy's dus ook erg van de situatie afhangen.

en over de ww elektronisch opslaan: is de exel beveiligingscode al gekraakt? (hoe lang duren 12 karakters wel niet met brute force?)

Voor excel zijn al foefjes gevonden als ik het goed heb.

een bruteforce attack op een wachtwoord van 6 ch, waar een spatie-vreemdkarakter - kleine letters - grote letters en een getal in zit, duurde op mijn dual P!!!1000mhz al meer als een maand, dus 8 zal wel meer als een jaar zijn!
Ik praat dan alleen over bruteforce

MrCyber schreef op 21 augustus 2002 @ 20:01:
v.w.b. password policies gebruik ik altijd de volgende richtlijnen :

- Administrator password - wachtwoord van 12 karakters waarbij 1e 6 karakters door mij worden getyped, de 2de 6 karakters worden door een ander getyped (bv de directeur of wie dan ook). Beide 6 letterige stukken in een verzegelde envelop in de kluis. Uiteraard wel gemerkt welke de 1e en welke de 2de set karakters bevat.

Volgens mij is dit overbodig. Waar het om gaat is dat het 'echte' admin account niet misbruikt wordt, en toegankelijk is in geval van nood. Het enige wat je bereikt is dat je het admin password niet weet. Dat maakt niet uit, want je hebt een admin-equivalent account.

- Alle user accounts moeten elke 45 dagen een nieuw wachtwoord kiezen van mininmaal 9 karakters lang en dit moet minimaal 2 cijfers en een speciaal teken bevatten.

Hoe intelligent is de UDB manager? Op papier is dit leuk, maar als gebruikers weg komen dat %henkie01 (02 03 enz) voldoet, is het vrij zinloos. Uiteraard zijn users een erg zwakke schakel in deze vorm van security.

Mensen die langer dan 1 week op vakantie of wat dan ook gaan moeten dit van te voren melden. Hun account wordt dan gedurende deze week gedisabled.

Technisch niets mis mee, maar is dat niet een hoop werk?

Passwoorden. Over een tijdje worden ze in het bedrijf vervangen door sleutels maar tot dat moment:


De reden dat de locale admin anders is is omdat die meestal alleen nodig is bij domein aanpassingen.

Maar wel:
Administrator een andere naam gegeven.
Admin account en normaal gebruikersaccount.
Altijd locken of uitloggen als je wegloopt bij een pc (zelfs als je naar de wc moet).

Het genereren van de paswoorden:
Ik zal het niet precies vertellen maar de temperatuur bij onze kofieoutomaat is tot op 4 cijvers naukeurig, leuke seed.

Dat van lpth0crack en 8 charackter passworden
De oude NT4 passwd hash sloeg maar 8 characters op (net als de oude des van unix)
het nieuwere sleutelsysteem wat 2k gebruikt (moet je het wel aanzetten ) slaat wel meer dan 8 op

Verwijderd schreef op 22 augustus 2002 @ 09:13:
een bruteforce attack op een wachtwoord van 6 ch, waar een spatie-vreemdkarakter - kleine letters - grote letters en een getal in zit, duurde op mijn dual P!!!1000mhz al meer als een maand, dus 8 zal wel meer als een jaar zijn!
Ik praat dan alleen over bruteforce

Ik denk dat je je vergist... Mijn AMD XP 2000+ doet die 6 char (volle ascii-table) in een uurtje ofzo.

Bij 7 is het al vele malen langer en 8 duurt wéér een flink aantal stappen meer.

Persoonlijk vind ik 12-char passes wel veilig genoeg, maar dat zijn dan wel passes die ik slechts 1x per jaar ofzo verander.

Booster schreef op 22 augustus 2002 @ 18:52:
[...]

Ik denk dat je je vergist... Mijn AMD XP 2000+ doet die 6 char (volle ascii-table) in een uurtje ofzo.

Bij 7 is het al vele malen langer en 8 duurt wéér een flink aantal stappen meer.

Persoonlijk vind ik 12-char passes wel veilig genoeg, maar dat zijn dan wel passes die ik slechts 1x per jaar ofzo verander.

bedenk wel 6 karakters met een getal en verschil tussen kleine en grote letters

dat doet jouw athlon echt niet in 1 uurtje hoor!

zwelgje schreef op 22 augustus 2002 @ 19:03:
bedenk wel 6 karakters met een getal en verschil tussen kleine en grote letters
dat doet jouw athlon echt niet in 1 uurtje hoor!

Eens even testen.

AMD XP 2000+, op standaard kloksnelheid (1,67 Ghz)
Zipje gemaakt met 2 foto's, highest compression, password: !#aB01

Archive Password Recovery 2.00 erover, met volgende settings:
• Bruteforcen met 'All printable'-chars
• Minimum length 1 en maximum length 6
• Priority options: high

Allereerst een bench met deze settings. Resultaat:


Hierna de ZIP:
4 chars deed hij in ongeveer 20 seconden
5 chars deed hij in ongeveer 18 minuten
6 chars doet hij in 1 dag, 5 uur en ongeveer 30 minuten:


Zoals je ziet duurt het minder lang dan de bench inschatte, omdat de snelheid wat hoger was dan verwacht. Op bepaalde momenten in de test werden snelheden van 7.780.000 passes per second gemeten.

Verwijderd schreef op 22 augustus 2002 @ 09:13:
[...]
... duurde op mijn dual P!!!1000mhz al meer als een maand, dus 8 zal wel meer als een jaar zijn!

Dit is dan nog met een waarschijnlijk niet geoptimaliseerde engine voor Athlon-CPU's, het lijkt me zeer sterk dat jou Dual P3 1 Ghz daar een maand over doet.

Die ene dag die een attacker dan kwijt is aan rekentijd zullen hem echt een worst wezen als hij gewoon binnen wil komen.

[ Voor 0% gewijzigd door Booster op 23-08-2002 10:52 . Reden: Whoops, max length niet 7 maar 6 ]

een zipje bruteforce kraken is behoorlijk verschillend van de sam kraken van win2k...
als je lokaal ingelogd bent kan het misschien vergelijkbaar zijn... maar niet boeiend... over een netwerk wordt je, als je al een inlognaam (administrator renamen natuurlijk!!!!) hebt, elke 3 pogingen gelockt en zal je moeten wachten totdat je weer mag aanloggen... een vertraging van 5 mins maakt bruteforce al onmogelijk

Verwijderd schreef op 23 augustus 2002 @ 11:07:
een zipje bruteforce kraken is behoorlijk verschillend van de sam kraken van win2k...

Verschillend, allicht ja.

Als er iemand met een sambase en een bruteforce cracker komt dan wil ik best kijken hoe lang dat duurt. (als ie iets van benchmark heeft iig)

Imho is 6 chars voor een pass gewoon te weinig.

als je lokaal ingelogd bent kan het misschien vergelijkbaar zijn... maar niet boeiend... over een netwerk wordt je, als je al een inlognaam (administrator renamen natuurlijk!!!!) hebt, elke 3 pogingen gelockt en zal je moeten wachten totdat je weer mag aanloggen... een vertraging van 5 mins maakt bruteforce al onmogelijk

Natuurlijk, maar we hadden het over gewoon bruteforcen.

Booster schreef op 23 augustus 2002 @ 20:34:
Als er iemand met een sambase en een bruteforce cracker komt dan wil ik best kijken hoe lang dat duurt. (als ie iets van benchmark heeft iig)

Als er iemand bij een sam kan komen heb je volgens mij al een ander probleem, daarnaast werkt een win2k AD netwerk weer niet met een SAMDB

BackSlash32 schreef op 25 augustus 2002 @ 17:41:
Als er iemand bij een sam kan komen heb je volgens mij al een ander probleem

Tja.

Ik sprak meer over het meten van hoe snel het gaat op dit moment, hoe je aan een sam komt is weer een ander verhaal