Autor Thema: Passwort (Gelesen 2524 mal)

spedy · « **am:** 15.11.04 - 14:59:46 »

Hallo,
Hab leider das Passwort unserer Schlüsselringdatei (certsrv.nsf) vergessen - hab schon alles versucht.
Kennt jemand ein Tool (Crack) zur Findung des Passwortes?
DANKE

Semeaphoros · « **Antwort #1 am:** 15.11.04 - 20:03:28 »

Halte ich für aussichtslos

Thomas Schulte · « **Antwort #2 am:** 15.11.04 - 20:17:41 »

Das stimmt jetzt so nicht. Es gab tatsächlich mal ein Tool mit dem man verschiedene Attacks gegen die user Id fahren konnte und das in der Regel auch Ergebnisse vorgelegt hat. Zumindest unter Notes5. Dabei hat der Schreiber RE betrieben und den Verlängerungsfaktor des Notes Systemes ausgehebelt.
Wenn man das hier http://www.it-audit.de/assets/artikel/com/Hackerziel_Domino.pdf liest, dann kann man sich ungefähr vorstellen, wie ein solcher interner Attack laufen könnte.

Thomas

Semeaphoros · « **Antwort #3 am:** 15.11.04 - 20:25:30 »

Das Ding, das Du meinst, macht eine Kombination von verschiedenen bekannten Attacken, angefangen von einer Dictonary-Attacke bis hin zur Random-Attacke. Wenn das PW erratbar ist, liefert das Tool ein Ergebnis, wenn das PW vernünftig aufgebaut ist, liefert das Tool auch kein Ergebnis. Meine ID wurde jendenfalls von dem Tool nicht geknackt. Uebrigens, den Verlängerungsmechanismus auszuhebeln ist keine Kunst, wenn man über die API geht.

Thomas Schulte · « **Antwort #4 am:** 15.11.04 - 20:34:56 »

*grins* ich glaub wir haben uns da drüber schon mal unterhalten.
Bei vernünftig aufgebauten Passwörter ist bei einer Brute Force Attacke dann auf einem Aktuellen PC schon mal eine Rechenzeit von > 1500 Jahren rausgekommen.
Du kannst aber auch Glück haben.

Aber formulieren wir deine Antwort von vorhin doch ein wenig um.
Grundsätzlich kann man jedes Passwort knacken, es ist nur eine Frage des Aufwandes.

Thomas

TMC · « **Antwort #5 am:** 15.11.04 - 20:35:34 »

Zitat von: Semeaphoros am 15.11.04 - 20:25:30

Uebrigens, den Verlängerungsmechanismus auszuhebeln ist keine Kunst, wenn man über die API geht.

Oder über die SwitchToID Methode der NotesRegistration-Klasse, damit geht es afaik auch.

Semeaphoros · « **Antwort #6 am:** 15.11.04 - 20:38:37 »

Thomas, das ist natürlich richtig. Ich wollte nur dem Fragenden die Antwort, die in der Praxis dir richtige sein sollte, geben .....

Christopher · « **Antwort #7 am:** 15.11.04 - 21:03:27 »

Jau die einfachst methode sich sowas zu bauen ist C API. siehe

http://www.openntf.org/Projects/codebin/codebin.nsf/CodeBySubCategory/56723E86AEA4D73D86256EEB003F5F66

Desweiteren gibt es in keinem System ein Sicherheit von 100%. Notes halte ich aber schon für sehr sicher konzipiert. Problem ist halt immer http und die Kennwortsicherheit von http. Deshalb würde ich nie einen Domino über http administrieren und diese DB vom Server entfernen.

Autor Thema: Passwort (Gelesen 2524 mal)

spedy

Passwort

Semeaphoros

Re: Passwort

Thomas Schulte

Re: Passwort

Semeaphoros

Re: Passwort

Thomas Schulte

Re: Passwort

TMC

Re: Passwort

Semeaphoros

Re: Passwort

Christopher

Re: Passwort