Tools für Broute Force Attacken:

• Brutus : www.hoobie.net/brutus (alter LINK !!!!!) Dies dürtfe der neue sein : http://www.securiteam.com/tools/2QUQ2PPRPG.html
• brute_web.c http://packetstormsecurity.org/Exploit_Code_Archive/brute_web.c
• pop.c http://packetstorm.securify.com/groups/ADM/ADM-pop.c
• TeeNet http://www.phenoelit.de/tn
• Pwscna.pl (Teil des VLAD Scanners) http://razor.bindview.com/tools/vlad/index.shtml

Gegenmittel zu Broute Force :

• Cracklib ( Passworte vergleichen) http://www.users.dircon.co.uk/~crypto/download/cracklib,2.7.tgz
• npasswd (Ersatz für passwd) http://www.utexas.edu/cc/unix/software/npasswd/
• Secure Remote Password (Passwortbasierender Mechanismus zum Schlüsselaustausch übers Netz) http://www-cs-students.stanford.edu/~tjw/srp/
• OpenSSH (Ersatz für diverse "R"-Kommandos) http://www.openssh.org/

Grundsätzliches zur Passwortsicherheit:

• Überprüfen Sie ob alle User ein gültiges Passwort haben !!
• Lassen Sie Ihre Passwörter alle 15-30 Tage für wichtige User ändern und normale User alle 40-60 Tage.
• Überprüfen Sie ob Ihre minimale Passwortlänge auf 6-8 Zeichen eingestellt ist.
• Schreiben Sie mehrmalige Anmeldeversuche in eine Prokolldatei (oder lassen Sie sich ein Mail schicken ;-) )
• Konfigurieren Sie Ihr System so, das der betreffende Account für 15 Minuten gesperrt wird, wenn mehr als 3 fehlerhafte Anmeldeversuche stattgefunden haben.
• Entfernen Sie Dienste die Sie nicht brauchen
• Verwenden Sie nicht ein und dasselbe Kennwort an allen Systemen
• Richten Sie Überprüfungsprogramme ein, welche die Kennwörter der Anwender überprüft. Oft wird ein "schlechtes" Kennwort (Datum; oder Name der Frau) gewählt und damit einem Angreifer relativ leichtes Eindringen ermöglichen.
• Schreiben Sie Ihre Kennwörter nicht nieder (Leicht gesagt, aber man gewöhnt sich daran. Abhilfe z.B: Verschlüsselte Datenbank auf einem Palmtop; Psion - jedenfalls was persöhnliches)
• Teilen Sie Ihre Kennwörter niemandem mit. Dies sollten Sie auch Ihren Anwendern klar machen. Es kommt oft vor, das die gesamte Abteilung über die Passwörter der anderen bescheid weis
• Überprüfen Sie ob die von der Installation stammenden Accounts auf Ihren Maschinen auf geänderte Kennwörter haben !!! Das Defaultpasswort ist schliesslich jedem bekannt der dasselbe Betriebssystem installiert hat.