Einfach mal die im Active Directory (AD) verwendeten Kennwörter gegen eine Liste von 2,5 Milliarden kompromittierter Kennwörter prüfen? Und das kostenlos per Windows-Tool?
Das Tool NebulousAD v1.1 soll dies ermöglichen. Freeware, und im Quellcode verfügbar, lehnt es sich an die Idee von Troy Hunt mit seiner Seite Have I been Pwned an. Es kann die Kennwörter in einem Active Directory abfragen, und die ersten ersten Zeichen eines Hash-Werts für ein Kennwort per API an eine Datenbank mit kompromittierten Kennwörter zur Überprüfenung übertragen.
Check passwords in Active Directory against 2.5 billion breached passwords—for free—now with more privacy! NebulousAD v1.1 has been released https://t.co/YtPY0atrWY
— NuID (@_NuID) September 11, 2019
Ich selbst habe das Tool (mangels AD-Umgebung) nicht getestet. Aber es klingt vielversprechend – Details lassen sich auf dieser Webseite abrufen.
Kein Wort zu der Frage, ob ich dem alles vertrauen kann.
Ich hoffe jeder der Tool verwendet, sieht sich vorher den Quellcode an und kompeliert das Tool selbst direkt aus Git.
Ich meine, es geht hier wirklich an das tiefeste Kernstück jeder AD Infrastruktur, da kann ich nur jedem abraten Tools aus nicht besonders stark geprüften Quellen zu verwenden.
Was der ungewollte und vorallem unkontrollierte Zugriff auf Domain Controller für Konsequenten hat sieht man an genug Beispielen.
Finde keine Option, um gegen die Offline-NTLM-Datei von Troy Hunt zu prüfen. Bin ich nur zu blind, oder funktioniert das Tool komplett online?
Anixis Password Policy Enforcer beinhaltet auch die Nutzung von Dicitionaries, so kann dann wenigstens beim PW Wechsel darauf geprüft werden ;-)
Wo kann ich diese Liste herunterladen???
Dann könnte ich In-House überprüfen, ohne die Passwörter über das Internet versenden zu müssen.
Die Liste der Paßwörter kann man hier runterladen: https://haveibeenpwned.com/Passwords (Etwas runter scrollen)
Diese Prüfung gibt es im übrigen auch für Keepass: https://github.com/mihaifm/HIBPOfflineCheck
Gruß
Hallo Alfred,
vielen Dank,
und ganz besonders für den Hinweis auf die Prüfung für Keepass!
Kein Ding!
Tipp: Das PW-File auf eine SSD legen, sonst kommt Keepass, beim Start, etwas ins stocken.
Gruß