検出

弱いパスワードの検出

high

Language:

説明

Active Directory アカウントパスワードにより複数の問題 (不十分な複雑性、古い暗号化、ブランク、再利用、漏洩など) が生じる可能性があります。これにより、「ブルートフォース」、「パスワードスプレー」、「ラテラルムーブメント」攻撃を許してしまい、Active Directory セキュリティの低下につながる可能性があります。

ソリューション

ドメインユーザーのパスワードの優れた管理方法としては、強力な一意のパスワードを使用する、ドメイン認証されたアカウントに関連するデフォルト値をそのまま使用することを避ける、堅牢なアルゴリズムでパスワードを安全に保存するなどがあります。

参考資料

The 773 Million Record "Collection #1" Data Breach (7 億 7300 万件に及ぶ「Collection #1」データ漏洩)

The Default Password Threat (デフォルトパスワードの脅威)

How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases (Windows が Active Directory とローカル SAM データベースにパスワードの LAN マネージャーハッシュを保存しないようにする方法)

インジケーターの詳細

名前: 弱いパスワードの検出

コード名: C-PASSWORD-HASHES-ANALYSIS

深刻度: High

タイプ: Active Directory Indicator of Exposure

Family: 認証と認証情報

MITRE ATT&CK 情報:

攻撃者の既知のツール

ropnop: Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication

OpenWall: John the Ripper - A fast password cracker

Jens Steube, Gabriele Gristina: hashcat - advanced password recovery tool