Das Notes Forum

Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: spedy am 15.11.04 - 14:59:46

Titel: Passwort
Beitrag von: spedy am 15.11.04 - 14:59:46: Hallo,
Hab leider das Passwort unserer Schlüsselringdatei (certsrv.nsf) vergessen - hab schon alles versucht.
Kennt jemand ein Tool (Crack) zur Findung des Passwortes?
DANKE
Titel: Re: Passwort
Beitrag von: Semeaphoros am 15.11.04 - 20:03:28: Halte ich für aussichtslos
Titel: Re: Passwort
Beitrag von: Thomas Schulte am 15.11.04 - 20:17:41: Das stimmt jetzt so nicht. Es gab tatsächlich mal ein Tool mit dem man verschiedene Attacks gegen die user Id fahren konnte und das in der Regel auch Ergebnisse vorgelegt hat. Zumindest unter Notes5. Dabei hat der Schreiber RE betrieben und den Verlängerungsfaktor des Notes Systemes ausgehebelt.
Wenn man das hier http://www.it-audit.de/assets/artikel/com/Hackerziel_Domino.pdf liest, dann kann man sich ungefähr vorstellen, wie ein solcher interner Attack laufen könnte.

Thomas
Titel: Re: Passwort
Beitrag von: Semeaphoros am 15.11.04 - 20:25:30: Das Ding, das Du meinst, macht eine Kombination von verschiedenen bekannten Attacken, angefangen von einer Dictonary-Attacke bis hin zur Random-Attacke. Wenn das PW erratbar ist, liefert das Tool ein Ergebnis, wenn das PW vernünftig aufgebaut ist, liefert das Tool auch kein Ergebnis. Meine ID wurde jendenfalls von dem Tool nicht geknackt. Uebrigens, den Verlängerungsmechanismus auszuhebeln ist keine Kunst, wenn man über die API geht.
Titel: Re: Passwort
Beitrag von: Thomas Schulte am 15.11.04 - 20:34:56: *grins* ich glaub wir haben uns da drüber schon mal unterhalten.
Bei vernünftig aufgebauten Passwörter ist bei einer Brute Force Attacke dann auf einem Aktuellen PC schon mal eine Rechenzeit von > 1500 Jahren rausgekommen.
Du kannst aber auch Glück haben.

Aber formulieren wir deine Antwort von vorhin doch ein wenig um.
Grundsätzlich kann man jedes Passwort knacken, es ist nur eine Frage des Aufwandes.

Thomas
Titel: Re: Passwort
Beitrag von: TMC am 15.11.04 - 20:35:34: Zitat von: Semeaphoros am 15.11.04 - 20:25:30
Uebrigens, den Verlängerungsmechanismus auszuhebeln ist keine Kunst, wenn man über die API geht.

Oder über die SwitchToID Methode der NotesRegistration-Klasse, damit geht es afaik auch.
Titel: Re: Passwort
Beitrag von: Semeaphoros am 15.11.04 - 20:38:37: Thomas, das ist natürlich richtig. Ich wollte nur dem Fragenden die Antwort, die in der Praxis dir richtige sein sollte, geben ..... ;)
Titel: Re: Passwort
Beitrag von: Christopher am 15.11.04 - 21:03:27: Jau die einfachst methode sich sowas zu bauen ist C API. siehe

http://www.openntf.org/Projects/codebin/codebin.nsf/CodeBySubCategory/56723E86AEA4D73D86256EEB003F5F66

Desweiteren gibt es in keinem System ein Sicherheit von 100%. Notes halte ich aber schon für sehr sicher konzipiert. Problem ist halt immer http und die Kennwortsicherheit von http. Deshalb würde ich nie einen Domino über http administrieren und diese DB vom Server entfernen.