Пароли, сколько их уже хоронили, сколько говорили про то, что они ненадежны, они все равно остаются основным средством аутентификации.
Практически любой пентестер подтвердит, что в рамках работ по взлому он сталкивается с ситуацией нахождения учетных записей, у которых установлен пароль вроде p@ssw0rd или 123456. Сам помню как в одном случае мы наткнулись на учетную запись с паролем secret (абсолютно реальный случай), которая давала админский доступ как минимум к половине всей инфраструктуры заказчика.
С такими же проблемами сейчас сталкиваются и онлайн-сервисы, большинство обычных пользователей используют очень простые пароли, что дает возможность злоумышленникам легко получить доступ к нужным аккаунтам.
Вот, к примеру, Dropbox недавно в очередной раз заблокировал большое количество слабых паролей пользователей сервиса . На мой взгляд это очень правильная профилактическая мера, но как ни странно я что-то не знаю ни одного ИБ-продукта, в котором бы присутствовала функция обнаружения и блокировки слабых учеток.
Понятно что можно запустить сканер, потом посмотреть отчет, найти виновных и прочее, но ведь было бы значительно проще запускать периодически скрипт, который будет искать учетки со слабыми паролями и менять их на какой-то один сложный, но известный пароль.
Конечно тут есть свои минусы, что увеличится количество обращений в техподдержку с просьбой сбросить пароль, возможно перестанут работать какие-то скрипты, но ведь тут получается классическая дилемма, либо безопасность как должно быть, либо все как придется, дыры в системе, угроза взлома и проч.
Конечно не стоит рубить с плеча, можно же начать в режиме просто поиска таких учеток, а потом в какой-то момент перейти на принудительный сброс пароля.
В общем, мне кажется, что это правильная практика, и безопаснику стоит ее при определенных обстоятельствах включить в свой арсенал.
Теперь о том как это можно сделать.
1) Необходимо сформировать набор логинов и паролей, которые будем проверять. Логины берем из AD, пароли из типовых справочников, вроде того что опубликовал тот же Dropbox.
2) Проверку учеток можно сделать, например, с использованием nmap и плагина smb-brute .
3) С блокировкой сложнее, готовых инструментов нет, тут придется писать свои скрипты, либо для bash, либо bat-ник, либо плагин на языке nmap. Для установки пароля нужно всего лишь выполнить команду net user <текущий пароль> <новый пароль>. Как вариант можно воспользоваться плагином nmap - smb-psexec .
