cert.id Kennwort ändern / zurück setzen

Nunja, ist nicht ganz so einfach zu lösen das Problem.

Die CertID verfügt im Gegensatz zu Benutzer-IDs nicht über Wiederherstell-Infos (das sind sozusagen die Notfallkennwörter). Damit gibts wirklich nur die Chance entweder irgendwo eine Niederschrift des Kennworts zu finden, zu hoffen daß es vielleicht ganz simpel ist oder mit etwas Rechenpower einen Brute-Force-Versuch zu machen. In meinen Security-Seminaren demonstriere ich das immer gern mit User-ID's - eine CertID habe ich bisher noch nicht versucht (sollte aber genauso möglich sein).

Im Endeffekt wird dabei mit einem Hilfsprogramm eine Kennwortliste generiert die anschließend von einem weiteren Programm automatisiert getestet wird. Je länger und komplexer das Kennwort ist umso länger dauerts. Je mehr Rechner parallel arbeiten umso mehr kann man die Zeit verkürzen.

Die Frage ist jetzt eigentlich - wie komplex sind Kennwörter bei diesem Admin üblicherweise und wie lang ist das Kennwort minimal/maximal, Sonderzeichen, Groß-/Kleinschreibung usw. Daraus ergibt sich die Zahl der Kombinationen. Und daraus die Dauer bis man es hat. Die Frage ist nicht OB man es findet sondern nur WANN ;=)

Nebenbei sollte die rechtliche Seite nicht unbeachtet bleiben - wenn ich als Dienstleister zu sowas beauftragt werden würde so würde ich mich schon absichern wollen daß es wirklich ein Zertifikat des Auftraggebers ist und außerdem daß ich von einer befugten Person beauftragt werde.

Wir haben einen ähnlichen Fall. Wenn jetzt auch die ID weg, bleibt dann wahrscheinlich nur eine Neuinstallation oder? (Noch wird die ID + Passwort gesucht)

Gruss

Erdnuckl

Wenn keine ID der Organisation (cert.id) oder Sicherheitskopie davon mehr da ist hilft nichts mehr. Umbenennen geht übrigens auch nicht da man für eine Verschiebung der Nutzer in der Hierarchie sowohl die alte als auch die neue ZertifikatsID benötigt.

Wenn man sich [gezwungenermassen] entschließt eine neue Organisation anzulegen sei noch auf folgende Dinge hingewiesen:

1.) Nach Möglichkeit das neue Zertifikat nicht mit dem gleichen Namen anlegen, alle vorhandenen ID's merken sofort daß der Schlüssel nicht übereinstimmt und verweigern die Beglaubigung. Normalerweise wird bei unbekannten Zertifikaten sofort nach einem Gegenzertifikat (Querzulassung) gefragt - hat das neue Zertifikat aber den gleichen Namen so funktioniert dieser Mechanismus nicht (e.g. /IBM kann kein Gegenzertifikat für /IBM ausstellen).

2.) Wenn unbedingt der gleiche Name verwendet werden soll dann empfiehlt sich eine Neuinstallation mit anschließender Datenübername. Diese müssen neu signiert werden sonst kommt es zum unter 1) beschriebenen Problem.

Besser wäre es sowohl für 1) und 2) allerdings die alten Daten nur als Archive zur Verfügung zu stellen und wieder bei Null mit den neuen Daten anzufangen. Damit umgeht man einen Haufen Probleme.

Wie viel Aufwand dahinter steckt hängt von der Infrastruktur ab, für 1 Server und ein paar Hundert Clients ists noch überschaubar, sind weitere Server oder sogar fremde Domänen mit im Spiel wirds haarig. Hab das schon bei einigen Kunden durch und es mußten fast immer Korrekturscripte geschrieben werden. Und das obwohl bei den Fällen sogar die alte Cert noch da war. Ohne diese wirds nochmal um Einiges schwieriger.

Das ist zwar nicht was ich hören wollte ;-), aber trotzdem auf jeden Fall danke für die Tipps! Ich hoffe weiterhin, dass die ID wieder auftaucht.

Prinzipiell sollte es auch mit Zertifizierern funktionieren. Ich habe allerdings (aus verständlichen Gründen) nicht vor eine Step-by-Step Anleitung zum Knacken von ID's und benötigtem Beispiel-Code zu veröffentlichen.

Sende mir bitte eine PM mit deiner Mailadresse, ich schicke dir dann was zu.