L0phtCrack 7: password Windows più semplici da craccare oggi rispetto a 20 anni fa

Redazione di Hardware Upg · 31-08-2016, 10:41

Link alla notizia: http://www.hwupgrade.it/news/sicurez...-fa_64270.html

Il rilascio di L0phtCrack 7, software per la verifica e il recupero della password, permette di fare il punto sull'evoluzione dei sistemi di gestione delle password della piattaforma Windows. L'algoritmo di hash MD4 utilizzato da Microsoft mostra la sua debolezza nei confronti dei più recenti strumenti che consentono di craccare le password.

Click sul link per visualizzare la notizia.

coschizza · 31-08-2016, 11:19

L'articolo scritto cosi è un po "strano" a una lettura veloce sembra cha ms non abbia un sistema sicuro nella gestione delle password quando non è cosi, non è possibile che MS forzi l'utilizzo dei sistemi di hashing migliori perche comprometterebbe la compatibilità con altri sistemi quindi il tutto e configurabile dagli amministratori di sistema. E' quindi solo una sua oppinione che l'autore chieda a MS di abilitare da subito i sistemi piu evoluti perche io da sistemista vogli poter configurali dasolo e caso per caso in maniera specifica.

fraquar · 31-08-2016, 12:04

Quote:

Originariamente inviato da coschizza

L'articolo scritto cosi è un po "strano" a una lettura veloce sembra cha ms non abbia un sistema sicuro nella gestione delle password quando non è cosi, non è possibile che MS forzi l'utilizzo dei sistemi di hashing migliori perche comprometterebbe la compatibilità con altri sistemi quindi il tutto e configurabile dagli amministratori di sistema. E' quindi solo una sua oppinione che l'autore chieda a MS di abilitare da subito i sistemi piu evoluti perche io da sistemista vogli poter configurali dasolo e caso per caso in maniera specifica.

Vendono un software cosa ti aspetti che dicano?

aqua84 · 31-08-2016, 12:31

si può anche bypassare la password di windows in pochi secondi, senza il bisogno di stare ore e ore a "cercare" quella vera.

lucusta · 31-08-2016, 12:51

..uno dei tools che al tempo di NT4 mi era piu' utile...

avvelenato · 31-08-2016, 14:58

Quote:

Originariamente inviato da aqua84

si può anche bypassare la password di windows in pochi secondi, senza il bisogno di stare ore e ore a "cercare" quella vera.

C'è da dire che l'autenticazione locale di win non credo sia mai stata pensata per essere a prova di cracking.
Qualsiasi sysadmin sa che con nt pwd changer, erdcommander o qualsiasi altro dei diecimila tools disponibili si ottiene l'accesso da admin locale piuttosto facilmente.

Cosa che in certi ambiti può essere desiderabile. Se la complicazione dei sistemi di sicurezza supera l'effettiva e la percepita necessità della stessa, gli utenti cercheranno di bypassarla.

E hai voglia a imporre password di ventordici caratteri che scadono ogni giorno.

Così gli utenti, anziché usare Simone01, Simone02, Simone03, ecc, a rotazione, useranno SimoneFiglioPrimogenitoZeroUno01, ZeroDue02, ZeroTre03 e così via.

E per non aver problemi e impedimenti lavorativi,scriveranno la loro bella password in bellavista su un post-it attaccato al monitor.

piuttosto: ho una domanda.
Questo tipo di cracking si applica pure sulle autenticazioni di dominio memorizzate in cache?

lucusta · 31-08-2016, 20:12

dovrebbe farlo, anche perche' se stacchi il PC dalla rete riesci comunque a loggarti in locale con la stessa password di rete.
windows usa la caches di dominio proprio per questo.

di metodologie avanzate microsoft ne ha parecchie, ma non vengono sfruttate da nessuno.
con W10 puoi accedere con password testuale, immagine, pin, smart card, biometrici e su questi a doppia pass (con l'autenticatore in token), solo che...
puoi tranquillamente passare alla testuale quando vuoi (in effetti non so' se puoi impedirlo da policy), quindi e' come eliminare ogni stadio avanzato di autenticazione... per ora il piu' sicuro e' sicuramente la doppia autenticazione tramite altro device con token HW o SW (ma io e' da 8 che uso la puo' veloce ad immagini... anche se la complessità base e' solo di 3 gesture).

Alessio.16390 · 31-08-2016, 20:40

Quote:

Originariamente inviato da aqua84

si può anche bypassare la password di windows in pochi secondi, senza il bisogno di stare ore e ore a "cercare" quella vera.

rename cmd.exe sethc.exe
shift shift shift shift shift
ciao

gianluca.f · 01-09-2016, 11:15

Quote:

Originariamente inviato da Alessio.16390

rename cmd.exe sethc.exe
shift shift shift shift shift
ciao

maccheddiavolo

Dane · 01-09-2016, 11:47

Quote:

Originariamente inviato da Alessio.16390

rename cmd.exe sethc.exe
shift shift shift shift shift
ciao

è un reset password, non un crack....

Alessio.16390 · 01-09-2016, 11:50

Quote:

Originariamente inviato da Dane

è un reset password, non un crack....

Ho quotato un post in cui si scriveva "si può anche bypassare.."

31-08-2016, 12:31	#4
aqua84 Senior Member Iscritto dal: Jan 2010 Messaggi: 8277	si può anche bypassare la password di windows in pochi secondi, senza il bisogno di stare ore e ore a "cercare" quella vera. __________________ Telegram: @shutter1sland

31-08-2016, 10:41	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: http://www.hwupgrade.it/news/sicurez...-fa_64270.html Il rilascio di L0phtCrack 7, software per la verifica e il recupero della password, permette di fare il punto sull'evoluzione dei sistemi di gestione delle password della piattaforma Windows. L'algoritmo di hash MD4 utilizzato da Microsoft mostra la sua debolezza nei confronti dei più recenti strumenti che consentono di craccare le password. Click sul link per visualizzare la notizia.

31-08-2016, 11:19	#2
coschizza Senior Member Iscritto dal: May 2004 Messaggi: 8528	L'articolo scritto cosi è un po "strano" a una lettura veloce sembra cha ms non abbia un sistema sicuro nella gestione delle password quando non è cosi, non è possibile che MS forzi l'utilizzo dei sistemi di hashing migliori perche comprometterebbe la compatibilità con altri sistemi quindi il tutto e configurabile dagli amministratori di sistema. E' quindi solo una sua oppinione che l'autore chieda a MS di abilitare da subito i sistemi piu evoluti perche io da sistemista vogli poter configurali dasolo e caso per caso in maniera specifica.

31-08-2016, 12:51	#5
lucusta Bannato Iscritto dal: May 2001 Messaggi: 6246	..uno dei tools che al tempo di NT4 mi era piu' utile...

31-08-2016, 20:12	#7
lucusta Bannato Iscritto dal: May 2001 Messaggi: 6246	dovrebbe farlo, anche perche' se stacchi il PC dalla rete riesci comunque a loggarti in locale con la stessa password di rete. windows usa la caches di dominio proprio per questo. di metodologie avanzate microsoft ne ha parecchie, ma non vengono sfruttate da nessuno. con W10 puoi accedere con password testuale, immagine, pin, smart card, biometrici e su questi a doppia pass (con l'autenticatore in token), solo che... puoi tranquillamente passare alla testuale quando vuoi (in effetti non so' se puoi impedirlo da policy), quindi e' come eliminare ogni stadio avanzato di autenticazione... per ora il piu' sicuro e' sicuramente la doppia autenticazione tramite altro device con token HW o SW (ma io e' da 8 che uso la puo' veloce ad immagini... anche se la complessità base e' solo di 3 gesture).

Strumenti
Mostra una versione stampabile Invia questa pagina per email