🔐

Credential & Passwort-Audits

Passwort-Policy und Credential-Strength-Assessment. Offline-Analyse und Policy-Compliance-Checks.

Typische Prüfbereiche

Password Policies

Länge, Komplexität, Expiry, History, Lockout-Settings

Passwort-Stärke

Dictionary-Attacks (offline), Common-Passwords, Weak-Hashes

Credential Reuse

Shared-Passwords über Accounts, Service-Accounts mit User-Passwords

MFA-Coverage

Multi-Factor-Authentication-Abdeckung, Fallback-Mechanismen

Privileged Accounts

Admin-Password-Rotation, Emergency-Accounts, Break-Glass-Procedures

Hash-Security

Hashing-Algorithmen, Salt-Usage, Iteration-Counts

⚠️ Compliance & Datenschutz

  • 🔒Nur offline: Niemals Live-Systeme mit Brute-Force angreifen
  • 🔒Hash-Export: Nur mit expliziter Admin-Freigabe und sicherer Übertragung
  • 🔒Anonymisierung: Im Report keine User-Namen neben gecrackter Passwörter
  • 🔒Daten-Löschung: Hashes und Cracking-Results nach Report sicher löschen
  • 🔒Lockout-Policies: Bei Online-Tests (Hydra) extrem vorsichtig und nur nach Freigabe
  • 🔒MFA-Fokus: Empfehlen Sie immer MFA als primären Schutz

Tools (4)

Alle Tools sind für autorisierte Sicherheitsprüfungen konzipiert und erfordern eine schriftliche Freigabe.

John the Ripper

Fortgeschritten

Passwort-Cracking-Tool für Hash-Analyse und Policy-Audits

Hauptfunktionen:

  • Hash-Cracking (offline)
  • Passwort-Stärke-Audit
  • Custom-Wordlist-Generierung

Typische Verwendung:

  • Audit von Passwort-Hashes aus System-Exports
  • Identifikation schwacher Passwörter

Artefakte:

Statistik über gecrackter PasswörterPolicy-Violations (z.B. zu kurz)Complexity-Metrics

Hinweise:

Nur mit offline Hash-Exports

#password#audit#offline

Hashcat

Fortgeschritten

GPU-beschleunigtes Passwort-Recovery-Tool

Hauptfunktionen:

  • Hochleistungs-Hash-Cracking
  • Brute-Force/Dictionary/Hybrid-Modi
  • Multi-GPU-Support

Typische Verwendung:

  • Passwort-Policy-Audits
  • Identifikation von Reuse-Patterns

Artefakte:

Crack-Rate-StatistikenSchwache-Passwörter-ReportTime-to-Crack-Metrics

Hinweise:

Nur offline

#password#gpu#audit

Hydra

Experte

Online-Passwort-Brute-Force-Tool (nur mit strikter Kontrolle)

Hauptfunktionen:

  • Login-Brute-Force
  • Viele Protokolle (SSH, FTP, HTTP, etc.)
  • Throttling-Optionen

Typische Verwendung:

  • Nur zur Überprüfung von Lockout-Policies
  • Extrem langsam und kontrolliert

Artefakte:

Lockout-Policy-VerifikationRate-Limit-NachweisDetection-Logs (SOC-Abgleich)

Hinweise:

EXTREM invasiv

#password#bruteforce#vorsicht

CeWL

Einsteiger

Custom-Wordlist-Generator aus Website-Content

Hauptfunktionen:

  • Wort-Scraping von Websites
  • Generierung zielgerichteter Wordlists
  • Depth-Control

Typische Verwendung:

  • Erstellung firmenspezifischer Wordlists
  • Kombination mit Offline-Cracking

Artefakte:

Custom-WordlistsHäufig genutzte BegriffeFirmenjargon-Sammlung

Hinweise:

Nur auf autorisierten Sites

#password#wordlist#osint

Typische Deliverables

  • 📄Passwort-Stärke-Report (anonymisiert)
  • 📄Policy-Compliance-Assessment
  • 📄Reuse-Patterns und Risiken
  • 📄MFA-Coverage-Analyse
  • 📄Konkrete Policy-Empfehlungen (Länge, Complexity, Expiry)

Empfohlener Einstieg

  1. 1.Sammeln Sie Hash-Exports mit Admin-Freigabe (offline)
  2. 2.Nutzen Sie John the Ripper mit Standard-Wordlists
  3. 3.Analysieren Sie mit CeWL firmenspezifische Begriffe
  4. 4.Erstellen Sie eine Statistik über gecrackter Passwörter
  5. 5.Leiten Sie daraus Policy-Empfehlungen ab (ohne Personen zu nennen)