Password recovery tool policy in WOS - Lieve adjes

zaterdag 26 juli 2003 12:33

Acties:

0 Henk 'm!

Officieel moto fan :)

Topicstarter

Naar aanleiding van deze edit: [rml]elevator in "[ XP] Windows start niet meer normaal op"[/rml] dit topic. Ik snap namelijk het idee achter deze edit niet zo goed.

Zoals je kan zien staat in een aantal posts hierboven: [rml]elevator in "[ XP] Windows start niet meer normaal op"[/rml] ook een link, ook deze tool kan passwoorden editten, maar deze link is wel toegestaan.

Ik vind het wat jammer dat deze tools weggehaald worden. Begrijp me niet verkeerd - ik ben helemaal voorstander van het verbieden van echte "crack" tools en dergelijke, maar zoals we allemaal weten heb je voor de eerder genoemde tools "physical access" nodig tot de PC. Het is dan - imho - ook niet een crackers tool, maar gewoon een utility die je kan gebruiken om data te recoveren (als je het password niet meer weet).

Opvallend is dat in [rml]The_Eagle in "[ Win NT] gaat niet!"[/rml] deze post, door momania zelf aangeraden wordt om de hardeschijf maar om te bouwen. Dat lijkt mij ook nogal een manier om het password te omzeilen

In NOS kan het wel gewoon - wachtwoord root debian 3.0, is een mooi voorbeeld.

Wat ik eigenlijk zou willen voorstellen is dat er gewoon een gezonde scheiding komt tussen het offline recoveren van passwoorden (eg: doormiddel van deze tools) en het online omzeilen van beveiligsmaatregelen. Dat laatste ben ik namelijk ook erg tegen - het 1e kan eigenlijk alleen maar voor "goed" gebruikt worden.

zaterdag 26 juli 2003 12:36

Acties:

0 Henk 'm!

Reptile209

- gers -

Het probleem met "offline" passwords wijzigen, is dat er ook genoeg scriptkiddo's rondlopen die dat graag op school willen gaan doen. En mensen die graag admin op hun werk-PC willen zijn. En mensen die graag rondneuzen op de PC van huisgenoten. En...
Kortom: het blijft raden wie het waarom wil gebruiken. En dan lijkt consequent niet toestaan de meest logische weg.

Zo scherp als een voetbal!

zaterdag 26 juli 2003 13:38

Acties:

0 Henk 'm!

momania

iPhone 30! Bam!

Ik ben het gedeeltelijk wel met elevator eens.
Die tools zijn soms niet echte cracks, maar ik bekijk het ook even vanuit het GoT standpunt.

GoT wil denk ik niet graag met zaken zoals password recovery geassocieerd worden.
Je moet ergens een grens trekken en dan is het uizoeken welke tool nou wel of geen crack is lastig. Je kan dan beter stellen dat je het helemaal niet wilt hebben.

Daarbij is het zoeken naar dit soort tools vaak een fluitje van een cent en zijn dit soort vragen sowieso al nooit echt volgens het beleid, want het duid erop dat een TS dan niet echt z'n best gedaan heeft met zoeken.

elevator schreef op 26 juli 2003 @ 12:33:
Zoals je kan zien staat in een aantal posts hierboven: [rml]elevator in "[ XP] Windows start niet meer normaal op"[/rml] ook een link, ook deze tool kan passwoorden editten, maar deze link is wel toegestaan.

Bij deze tool kwam ik iig op de site een logo tegen van "MS Gold Certified Partner". dwz dat alle software die door dat bedrijf gemaakt wordt aan bepaalde eisen moet voldoen en dat die ook door MS gecontroleerd wordt. Als daar dan een password recovery tool bij zit, dan vindt ik dat de verantwoordelijkheid van MS zelf.

Neem je whisky mee, is het te weinig... *zucht*

zaterdag 26 juli 2003 16:07

Acties:

0 Henk 'm!

Compubiter

Think again

Passwords resetten en wijzigen doen we in principe niet zo moeilijk over, omdat je fysiek toegang moet hebben tot het apparaat en als het jouw machine niet is, de eigenaar er altijd achter komt dat er iemand aan zijn machine heeft gezeten.
Password recovery, dus het daadwerkelijk omzetten van de sterretjes in lettertjes zeg maar, doen we niet aan. Op die manier wordt duidelijk wat het wachtwoord is, en de eigenaar zal er nooit achter komt dat er iemand aan die PC heeft gezeten.

Dit is natuurlijk heel kort door de bocht, maar hier komt het wel op neer. Dus resetten en wijzigen zonder dat je daadwerkelijk het oorspronkelijke wachtwoord nodig hebt, is niet zo'n probleem, password recovery wel.

zaterdag 26 juli 2003 16:38

Acties:

0 Henk 'm!

momania

iPhone 30! Bam!

Compubiter schreef op 26 July 2003 @ 16:07:
Dit is natuurlijk heel kort door de bocht, maar hier komt het wel op neer. Dus resetten en wijzigen zonder dat je daadwerkelijk het oorspronkelijke wachtwoord nodig hebt, is niet zo'n probleem, password recovery wel.

Ik vind het alleen zo onduidelijk in de policy staan.
Zoals het er nu staat komt het er op neer dat alles wat te maken heeft met wachtwoorden omzeilen niet is toegestaan.
En het is zo ook erg lastig om als mod een beslissing te nemen wat nou wel en wat nou niet kan. Het blijft een beetje grijs gebied zo...

Neem je whisky mee, is het te weinig... *zucht*

zaterdag 26 juli 2003 16:39

Acties:

0 Henk 'm!

Compubiter

Think again

En daarom hebben wij ook de uiteindelijke beslissing

. Als mensen iets niet zeker weten, dienen ze het eerst te vragen, alvorens een topic te openen

.

zaterdag 26 juli 2003 16:46

Acties:

0 Henk 'm!

momania

iPhone 30! Bam!

Compubiter schreef op 26 July 2003 @ 16:39:
En daarom hebben wij ook de uiteindelijke beslissing . Als mensen iets niet zeker weten, dienen ze het eerst te vragen, alvorens een topic te openen .

Misschien is het handig om dat er dan bij te zetten. Dat het in sommige gevallen wel mag, maar dan alleen in overleg met een mod?

Neem je whisky mee, is het te weinig... *zucht*

zaterdag 26 juli 2003 16:48

Acties:

0 Henk 'm!

mutsje

Certified Prutser

over het algemeen word L0hptcrack in the wereld als cracktool gezien terwijl in de professionele wereld het vaak gebruikt wordt om password recovery toe te passen. Er is een kleine scheidingslijn tussen het professioneel toepassen van dit soort tools en het oneigenlijk verkrijgen van wachtwoorden aan de andere kant. Dit zal altijd een grijs gebied blijven waar verschillende mensen het niet over eens zullen zijn. een beter policy beleid is om het in zijn algeheel te verbieden, wil je het toch ga je maar op PM toer of e-mail etc. Op deze manier houd tweakers zijn handjes schoon van eventuele claims.

zaterdag 26 juli 2003 16:51

Acties:

0 Henk 'm!

Han

faq "policy" #haal-weg

Als je iets post wat in een grijs gebied valt dan is het sowieso verstandig om eerst even overleg te plegen. Maar in dergelike gevallen weet de topicstarter zelf wel met wat voor een bedoelingen hij die password wil achterhalen of recoveren, dus de verantwoordelijkheid (zonder vooroverleg) ligt bij de user.

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

zaterdag 26 juli 2003 17:05

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Reptile209 schreef op 26 July 2003 @ 12:36:
Het probleem met "offline" passwords wijzigen, is dat er ook genoeg scriptkiddo's rondlopen die dat graag op school willen gaan doen. En mensen die graag admin op hun werk-PC willen zijn. En mensen die graag rondneuzen op de PC van huisgenoten. En...
Kortom: het blijft raden wie het waarom wil gebruiken. En dan lijkt consequent niet toestaan de meest logische weg.

Uiteraard - maar er zijn zoveel tools die voor niet goede doeleinden gebruikt kunnen worden.

Als je als bedrijf, school of huisgenoot niet wil dat dit gebeurt zal je fysieke maatregelen moeten nemen. Overigens is het uitschroeven van een harddisk destemeer intrusief (namelijk - je kijkt op die data zonder dat je sporen achter laat), maar dat is geen probleem?

momania schreef op 26 July 2003 @ 13:38:
GoT wil denk ik niet graag met zaken zoals password recovery geassocieerd worden.
Je moet ergens een grens trekken en dan is het uizoeken welke tool nou wel of geen crack is lastig. Je kan dan beter stellen dat je het helemaal niet wilt hebben.

Ik zie niets mis met password recovery. Elke ICT hobbyist en professional heeft er wel eens mee te maken, en zal dus ook deze info nodig moeten hebben.

-- Over ERD administrator van www.sysinternals.com --
Bij deze tool kwam ik iig op de site een logo tegen van "MS Gold Certified Partner". dwz dat alle software die door dat bedrijf gemaakt wordt aan bepaalde eisen moet voldoen en dat die ook door MS gecontroleerd wordt. Als daar dan een password recovery tool bij zit, dan vindt ik dat de verantwoordelijkheid van MS zelf.

Dus het is toegestaan zolang de originele maker van het product het toestaat?
Oftewel - als ik post dat je door de Win2000 CD te gebruiken, je ook het password kan omzeilen is het geen probleem? Dan snap ik niet helemaal de redenatie achter de policy.

Compubiter schreef op 26 juli 2003 @ 16:07:
Passwords resetten en wijzigen doen we in principe niet zo moeilijk over, omdat je fysiek toegang moet hebben tot het apparaat en als het jouw machine niet is, de eigenaar er altijd achter komt dat er iemand aan zijn machine heeft gezeten.

Precies - dat was ook mijn opvatting en dat is ook waar het hier over gaat, omdat zoals momania al aangeeft de policy er niet duidelijk over is, en het onder de moderators onderling ook geen duidelijkheid over is.

Compubiter schreef op 26 July 2003 @ 16:39:
En daarom hebben wij ook de uiteindelijke beslissing . Als mensen iets niet zeker weten, dienen ze het eerst te vragen, alvorens een topic te openen .

Het gaat vaak om de antwoorden die de desbetreffende tools aanraden

mutsje schreef op 26 July 2003 @ 16:48:
over het algemeen word L0hptcrack in the wereld als cracktool gezien terwijl in de professionele wereld het vaak gebruikt wordt om password recovery toe te passen. Er is een kleine scheidingslijn tussen het professioneel toepassen van dit soort tools en het oneigenlijk verkrijgen van wachtwoorden aan de andere kant. Dit zal altijd een grijs gebied blijven waar verschillende mensen het niet over eens zullen zijn.

Dit soort tools worden veel gebruikt, maar hebben niet veel toegevoegde waarde op GoT.

een beter policy beleid is om het in zijn algeheel te verbieden, wil je het toch ga je maar op PM toer of e-mail etc. Op deze manier houd tweakers zijn handjes schoon van eventuele claims.

Daar ben ik het dus niet mee eens. Het probleem is namelijk dat je mensen wel kan aanraden hun hardeschijf in een andere PC te bouwen, maar niet om een bepaald tooltje te laten gebruiken? Erger nog - als op de fabrikants' hun site een "MS Gold Partner Logo" staat, mag de tool wel? Alle drie de opties hebben dezelfde mogelijkheden (waar ik het geval van hardeschijf overbouwen nog de meest intrusieve van de 3 vind)!

XceeD schreef op 26 July 2003 @ 16:51:
Als je iets post wat in een grijs gebied valt dan is het sowieso verstandig om eerst even overleg te plegen. Maar in dergelike gevallen weet de topicstarter zelf wel met wat voor een bedoelingen hij die password wil achterhalen of recoveren, dus de verantwoordelijkheid (zonder vooroverleg) ligt bij de user.

Vandaar dat ik denk dat het belangrijk is dat dit soort dingen geen grijs gebied zijn

Bovendien snap ik niet helemaal waarom dit zo'n probleem is in WOS, terwijl het in NOS geen enkel probleem is.

zaterdag 26 juli 2003 17:37

Acties:

0 Henk 'm!

mutsje

Certified Prutser

tools is software een harde schijf ombouwen en dan takeownership doen is fysiek toegang hebben en kunnen sleutelen... met sommige tools kun je ook gewoon over het netwerk gaan werken dat zijn dus duidelijk de minder officiele tools..

zaterdag 26 juli 2003 17:39

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Vandaar dat ik ook in mijn topicstart pleit voor een scheiding tussen 'crackers' tool (zoals echte exploits en dergelijke), en het offline recoveren van een pasword. Voor het offline recoveren van een password, heb je fysieke toegang nodig

zaterdag 26 juli 2003 17:49

Acties:

0 Henk 'm!

Compubiter

Think again

elevator schreef op 26 July 2003 @ 17:05:
Het gaat vaak om de antwoorden die de desbetreffende tools aanraden

Daarom is het evengoed belangrijk dat de Topicstarter ons vantevoren vraagt of hij toestemming kan krijgen voor dat topic. Op die manier zijn wij op de hoogte van het topic en kunnen we het in de gaten houden. Bovendien kan de Topicstarter dan in zijn openingspost aangeven wat er wel en niet is toegestaan. Maar momania heeft gelijk als hij zegt dat dit soort dingen niet echt getuigt van veel eigen inspanning, aangezien het resetten van het wachtwoord vrij vaak in de search staat.

Mijn eigen uitgangspunt is: Zolang er niet iets schadelijks mee gedaan kan worden door mensen die toevallig meelezen (want hoe legitiem de reden ook mag zijn van de TS om het password te resetten, als er een 3e partij meeleest die het voor minder prettige dingen kan gebruiken, dan wil ik het evengoed niet hebben), staan we het toe. F_J_K heeft er in SGC ooit een stukje over geschreven:

F_J_K schreef op 12 November 2002 @ 11:41:
• http://home.eunet.no/~pnordahl/ntpasswd Windows password resetten via linux diskette. Is geen probleem: ten eerste kom je niet achter het bestaande password, ten tweede is het onherroepelijk, ten derde heb je fysieke toegang nodig.

Is een vrij duidelijk uitgangspunt volgens mij

.

zaterdag 26 juli 2003 17:52

Acties:

0 Henk 'm!

elevator

Officieel moto fan :)

Topicstarter

Compubiter schreef op 26 juli 2003 @ 17:49:
F_J_K heeft er in SGC ooit een stukje over geschreven:
[...]
Is een vrij duidelijk uitgangspunt volgens mij .

Ok - met die policy kan ik me goed in vinden. Maar die policy was dus blijkbaar niet duidelijk in de gehele WOS crew en niet onder de users. De link die jij net plaatste is namelijk bij mij weg-geedit naar aanleiding van een user.

Maar goed - point made, case closed wmbt.

zaterdag 26 juli 2003 17:57

Acties:

0 Henk 'm!

Compubiter

Think again

Stukje is van 12 november, en inmiddels al ver weggezakt

. Met zoiets kun je natuurlijk niet voorzichtig genoeg zijn, 'better safe than sorry' om zomaar te zeggen. momania heeft mijns inziens goed gehandeld

. Maar inderdaad, lijkt mij afgehandeld en duidelijk voor beide partijen. Misschien slim dat stukje sticky te maken ofzo.

zaterdag 26 juli 2003 18:35

Acties:

0 Henk 'm!

mutsje

Certified Prutser

misschien is het voor heel got handig om met een algehele richtlijn te komen aangaande password recovery vs password hacking.