Hi all,
besteht die Möglichkeit das Passwort aus einer ID zu extrahieren - klar bietet Notes keien Möglichkeit - aber vielleicht gibt´s irgendwelche Hacketools o.ä.
thanks schonmal..
Paul
-
-
Nein, weil das passwort STEHT nicht in der ID file drin, es ist ein teil der ID mit dieses passwort verschlüsselt, und damit der notes server dich authentifizieren kann, muß du dein persönliche schlüssel verwenden, und der ist mittels das kennwort im ID verschlüsselt.
Also ein klares NEIN. Dieses ist nicht möglich, weil es nicht drin ist. -
hallo,
vielleicht sollte man hier nochmal erwähnen dass man, wenn man die id mit recovery-infos versieht, dass passwort zumindestens zurücksetzen kann und nicht den benutzer neu zulassen muss nur weil der sein passwort vergessen hat.
-
Jau korrekt ! Wie man Kenwörter wieder herstellen kann steht übrigens hier.
Ach ja - es gibt allerdings Tools, mit denen man aus dem Hash-Code des Internet-Kennwortes aus dem Personendokument das jeweilige Internet-Kennwort entschlüsseln kann. Funktioniert auch relativ gut. Das geht aber - aus den von Ronka beschriebenen Gründen - eben nicht mit dem Kennwort der USER.ID. Und da diese normalerweise unterschiedlich sind bringt das auch eher wenig.
-
Randbemerkung über Recovery..
1) Das passwort recovery wird beim erstellen für ein oder mehrere personen festgelegt, wenn diesen personen die DAMALS beim erstellen der user id nicht mehr existieren, dann ist auch einen recovery nicht mehr möglich.
2) Das recoverypasswort ist IMMER GLEICH, das heißt, wenn jemand sich die "mühe" gibt das ding aufzuschreiben, dann kann damit den user id IMMER freigeschaltet werden. Die recovery passwords sind einmal vergeben, und IMMER gülltig
3) den safe ID der am anfang erstellt wird, und notwendig ist um ein kennwort überhaupt zu generieren, ist verschlüsselt mit den person(nen) die für den certifier eingetragen sind, auch hier gilt punkt 1, wenn diesen personen weg sind, oder WECHSELN, dann können diese dingen nicht mehr verarbeitet werden. Wenn der certifiert recoverer geändert wird, hat dieses NUR (und ausschließlich) auswirkungen auf NEU zugelassene id's, nicht auf alte. Es ist daher ratsam von anfang an hierfür eine ID zu erstellen (Mister Recoverer) und diesen ID sehr SEHR gut zusichern, und zu beschutzen.
-
... auch wenns immer wieder bestritten wird, daß es funktioniert ...
Es gibt ein Tool, welches eine Datei mit möglichen Kennwörter durcharbeitet und der Reihe nach durchprobiert. Damit bekommt man nicht jedes Kennwort raus, aber wenn die Datei entsprechend groß ist, schon eine ganze Menge. Das Tool schafft etwa 200 Versuche pro Sekunde und ich habe es schon ausprobiert ...Gruß
Master of Desaster -
Das ist nichts anderes als ein brute-force-attack, und ich habe keine zweifel das dieses irgendwann funktioniert...
Wenn das kennwort einfach ist und im wörterbuch steht, dann sollte das kein problem sein..
Meine notes-id kennwörter stehen nicht im wörterbuch...
Beim ersten arbeitgeber mit notes (2.1 damals) hatte ich "123 RonKa 123" als kennwort. Das würde ein brute-force-attack nicht in 4 jahren rausfinden. -
Wozu benötigst du das denn?
Du willst doch wohl nicht hacken???;-)Vieleicht gibt es ja für dein Vorhaben eine andere Lösung.
Gruß
Markus
-
Zitat
Wozu benötigst du das denn?
Du willst doch wohl nicht hacken???Nein, ich bin nur durch Zufall darauf gestoßen und wollte das nur mal ausprobieren, weil so oft behauptet wird, es gäbe da keine Möglichkeit.
Wenn man das Programm modifizieren würde, könnte es theoretisch nach Abarbeitung der Textdatei auch noch Zufallskombinationen testen. Natürlich würde es eine ziemliche Zeit brauchen, um ein sicheres Kennwort zu knacken, aber 90 aller User verwenden doch Kennwörter, die aus dem Namen ihres Meerschweinchens oder der bevorzugten Automarke bestehen ...
Gruß
Master of Desaster -
Du darfst aber nicht vergessen, dass eine Brute-Force oder Dictionay Attacke zeitlich gesehen keinen Sinn macht, denn Notes verlängert nach Fehleingabe des Kennwortes die Zeitdauer, bis das nächste Kennwort eingegeben werden kann...
Evtl. wenn man externe API´s nutzt ?!?
-
Hat jemand so ein Wörterbuch, das er mir zur Verfügung stellen kann ??
-
auf http://www.lostpassword.com gibt es jetzt schon fertige software im beta status für notes...
schau dir das doch mal an...
kostet bloß etwas geld... -
Eigentlich wollte ich aber nu kein Geld ausgeben !!
-
Hi,
1) ein Versuch per Script:
Dim reg As New NotesRegistration
Dim UserName As String
Dim password(1 To 7) As String
password(1)="Test"
password(2)="Test2"
password(3)="Test3"
password(4)="Test3"
password(5)="Test4"
password(6)="Test5"
password(7)="password"On Error Resume Next
For i=1 To 7
UserName = reg.SwitchToID( "c:\userabc.id", password(i))
Print password(i)
If UserName <> ""Then
Msgbox Username
Msgbox "Kennwort lautet " + password(i)
Exit Sub
End If
Next iEnd Sub
2) Ein Tool, geht dann doch schneller
http://www.cqure.net/tools04.html
Zitat
IPR is a tool for recovering passwords on Lotus Notes ID files. It does this by guessing passwords you supply in a dictionary file. It guesses approximately 400-500 passwords a second on a PIII 1Ghz. The tool should be used by administrators for finding weak passwords in user id files.HTH,
Planet