Erkennung von Passwortschwächen

high

Sprache:

Beschreibung

Im Zusammenhang mit Active Directory-Kontopasswörtern können mehrere Probleme auftreten (unzureichende Komplexität, veraltete Kryptografie, leer, wiederverwendet, veröffentlicht usw.) , die die Active Directory-Sicherheit beeinträchtigen, indem sie Angriffe vom Typ „Brute Force“, „Password Spraying“ und „Lateral Movement“ ermöglichen.

Lösung

Zu angemessenen Administrationspraktiken für Domänenbenutzer-Passwörter gehören starke und eindeutige Passwörter, die Vermeidung von nicht geänderten Standardwerten im Zusammenhang mit domänenauthentifizierten Konten und die sichere Speicherung von Passwörtern mit robusten Algorithmen.

Siehe auch

The 773 Million Record „Collection #1“ Data Breach

The Default Password Threat

So verhindern Sie, dass Windows einen LAN-Manager-Hash Ihres Passworts in Active Directory und lokalen SAM-Datenbanken speichert

Indikatordetails

Name: Erkennung von Passwortschwächen

Codename: C-PASSWORD-HASHES-ANALYSIS

Schweregrad: High

Typ: Active Directory Indicator of Exposure

Family: Authentifizierung und Anmeldeinformationen

MITRE ATT&CK-Informationen:

Taktik: TA0001 – Erster Zugang -
- Techniken: T1078 – Gültige Konten -
Taktik: TA0004 – Rechteausweitung -
- Techniken: T1078 – Gültige Konten -
Taktik: TA0006 – Zugriff auf Anmeldeinformationen -
- Techniken: T1110 – Brute Force -

Bekannte Tools von Angreifern

ropnop: Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication

OpenWall: John the Ripper - A fast password cracker

Jens Steube, Gabriele Gristina: hashcat - advanced password recovery tool