Debian 6
MIT Kerberos 即 krb5
我希望能够定期审核/测试 Kerberos 服务器中的密码以确保其质量。如果密码可以快速破解,我希望通知用户更改密码等。
我管理 Kerberos 服务器。我可以使用 kdb5_udil 转储数据库。我不确定之后该做什么。
有哪些好的工具和方法来审计/测试 MIT Kerberos krb5 密码?
注意:
我读到过 John The Ripper 可能能够做到这一点,但我还没有成功。我尝试将 unafs 指向我的转储,它要求提供一个数据库文件和一个单元名称。我不知道单元名称是什么,我猜这是特定于 Kerberos/AFS 的,而不是来自 KDC 的转储文件?
答案1
我不确定有哪些工具,但我确实有一些建议,以便即使使用较弱的密码也能更好地确保安全。首先,尽可能使用预身份验证。这是在主体的 Kerberos 数据库中设置的标志,可以配置为新主体的默认标志。如果没有预身份验证,有人可以在不知道用户密码的情况下请求 Kerberos 票证。虽然他们还不能使用它,但他们可以将其离线存储,并反复尝试使用各种密码解密此票证,直到成功。最有可能的是,到那时票证已经过期,但密码还没有过期。他们现在可以在知道用户密码的情况下请求另一张票。预授权需要证明知道密码,然后 Kerberos 服务器才会为用户提供票证以供解密。
其次,要清楚您允许 Kerberos 使用哪些算法和盐。每种算法都有不同的字符串到密钥函数,也就是密码的转换方式。字符串到密钥函数越复杂,暴力破解就越困难。通常,AES 加密具有更好的字符串到密钥算法。这与 AES 本身是更好的加密无关。即使客户端仅请求 AES 加密,如果 Kerberos 为用户存储 DES 或 3DES 密钥,它们也可能被请求,从而使暴力破解更容易。此外,您要确保只使用 v5 盐。较旧的 Kerberos 使用无盐(有时称为 v4 盐)和 DES 加密。如果您不使用盐,那么可以使用简单的预生成密码查找表及其加密密钥来暴力破解密码。盐将一个唯一值、用户名和领域添加到他们的密码中,以确保他们的加密密钥是唯一的,即使对于另一个用户或领域的相同密码也是如此。