home *** CD-ROM | disk | FTP | other *** search

---

/ HomeWare 14 / HOMEWARE14.bin / netutils / smrtpw.arj / README

< prev

next >

Wrap

Text File  |  1994-03-22  |  17KB  |  556 lines

---

1.         SmartPass(tm) v1.0 Password Security Analyzer
2.    Copyright 1994, e.g. Software, Inc. All Rights Reserved
3.  
4.  
5.                      ==================
6.                      What is SmartPass?
7.                      ==================
8.  
9. SmartPass is a NetWare Loadable Module (NLM) that works on
10. Novell NetWare Servers.  It is designed to identify
11. potential holes in your server security system by scanning
12. your user accounts against pre-defined databases of easy to
13. guess or obvious ("weak") passwords.
14.  
15. SmartPass comes equipped with more than 10 databases
16. containing over 120,000 common passwords such as:
17.  
18.      Common Words
19.      Computer Jargon
20.      Names of Famous People
21.      Common First and Last Names
22.      Places Around the Globe
23.      etc...
24.  
25. In addition to these databases, SmartPass utilizes
26. algorithms to identify other common passwords sequences such
27. as:
28.      Blank Passwords
29.      Matching User Names and Passwords
30.      Dates (American & European formats)
31.  
32. SmartPass compares each password in the selected databases
33. to each of the user accounts on the server and compiles a
34. list of "weak" passwords found.
35.  
36. SmartPass allows you to customize different password
37. scanning options and provides the following features:
38.  
39.      Enable/Disable individual databases to scan.
40.      Support for user-supplied databases.
41.      Scan "All Users" or "Supervisors Only."
42.      Scheduler for automatic scanning.
43.      User and/or Supervisor alerting when weak passwords are
44.         found.
45.      Automatically expire weak passwords.
46.      Scan automatically when passwords are changed.
47.      On-screen display of scan progress.
48.      Secured list of weak passwords found.
49.      No modification of user account or workstations setup
50.         needed.
51.      Server-based solution - no TSRs needed.
52.  
53.  
54. With SmartPass installed and used on a regular basis, your
55. server's vulnerability to intruders and hackers is
56. significantly reduced.
57.  
58.  
59.                 ============================
60.                 Why you should use SmartPass
61.                 ============================
62.  
63.  
64. The most sophisticated network security system is
65. ineffective when weak passwords are used.  A single user or
66. supervisor with a weak password may be the backdoor to your
67. entire network.
68.  
69. This risk is magnified in open networks where you have no
70. control over the individuals that may try to access your
71. network.  Examples of open networks are:
72.  
73.      * Dial-in servers connected to your network.
74.      * Use of remote control packages on workstations
75.        attached to your network.
76.      * Wide Area Networks (WANs) with inter-network
77.        access from multiple sites.
78.      * Internet access to your server.
79.      * Remote node connections via modem.
80.      * Wireless networks.
81.  
82. For both open and local networks, your control of who is
83. accessing or trying to access your network is minimal.
84. Since your security system relies entirely on the strength
85. of users' passwords, SmartPass ensures that a weak password
86. will not undermine the security of your network.
87.  
88.  
89.  
90.                     ====================
91.                     Installing SmartPass
92.                     ====================
93.  
94.  
95. You must have Supervisor rights to the server on which you
96. will be installing SmartPass.  You will also need either
97. physical access to the server console or to use RCONSOLE.
98.  
99. 1) From a workstation, login to the server on which you wish
100.    to install SmartPass.
101.  
102. 2) Make a sub-directory on your server that will hold the
103.    SmartPass program.  It is recommended that you put this
104.    on the SYS: volume and name it SMRTPASS.
105.  
106. 3) Copy all of the files from the SmartPass program diskette
107.    into this sub-directory (i.e. COPY A:\*.* SMRTPASS).
108.  
109.  
110.  
111.  
112.                ==============================
113.                Hardware/Software Requirements
114.                ==============================
115.  
116.  
117. * NetWare 3.11, 3.12, 4.x, or SFT III
118. * 300K of free memory on server
119. * 1.5 MB of free disk space on server
120. * 3.5" 1.44 MB high-density floppy drive
121.  
122.  
123.  
124.  
125.                       =================
126.                       Loading SmartPass
127.                       =================
128.  
129. To load SmartPass from the server console or from the
130. RCONSOLE program, switch to the "System Console."  From the
131. ":" prompt type "LOAD SYS:SMRTPASS\SMRTPASS.NLM" and press
132. the <ENTER> key.
133.  
134. If you would like SmartPass to load every time the server is
135. booted, edit your AUTOEXEC.NCF file and add the line:
136.  
137.                LOAD SYS:SMRTPASS\SMRTPASS.NLM
138.  
139.  
140.  
141.  
142.                        ===============
143.                        Using SmartPass
144.                        ===============
145.  
146.  
147.  
148.  
149.                      The Status Monitor
150.                      ==================
151.  
152.  
153. Immediately after loading SmartPass, the Status Monitor is
154. displayed at the top of the screen with the Main Menu
155. underneath it.
156.  
157. The Status Monitor displays initial data about the system
158. such as: Number of Users on this server, Number of databases
159. selected, and Total Number of passwords in the selected
160. databases.  SmartPass also estimates how many passwords will
161. be verified per second and the total time it will take to
162. scan all the Users or Supervisors against the selected
163. databases.
164.  
165. When a scan is started, the above-mentioned information is
166. updated every second, and the monitor displays the current
167. user and database being scanned as well as the number of
168. weak passwords found so far.
169.  
170.  
171.  
172.  
173.              Starting a Scan for Weak Passwords
174.              ==================================
175.  
176.  
177. To Start a scan for weak passwords, simply select the <Start
178. Password Scan> entry from the Main Menu (under the Status
179. Monitor).
180.  
181. Once the scan begins, the Main Menu displays two new
182. options:
183.  
184.      <Stop Password Scan> - stops the scan immediately.
185. <View Weak Passwords> - suspends the scan and displays
186.         the weak passwords found so far.
187.  
188. *Note: To view the Weak Passwords List, a user name and
189. password must be provided that has supervisor rights.
190.  
191. During the scan, press:
192.  
193.      <F2> to suspend the scan.
194.      <F3> to skip to the next User.
195.      <F4> to skip to the next Database.
196.  
197.  
198.  
199.                   View Weak Passwords Found
200.                   =========================
201.  
202.  
203. When a scan for weak passwords is finished, the Main Menu
204. reverts to its original format. You can then select the
205. <View Weak Passwords Found> option. To view the weak
206. passwords list, a user name and password must be provided
207. that has supervisor rights.
208.  
209. The list of weak passwords displays the User Name, the Weak
210. Password found and the Database of Weak Passwords in which
211. it was found.
212.  
213. Individual users can be highlighted using the <Up>/<Down>
214. arrow keys.
215.  
216. The following options are available when viewing the Weak
217. Passwords List.
218.  
219.  
220.  
221. Clear the List of Weak Passwords - (<F2> Clear List)
222. -----------------------------------------------
223. To clear the list of Weak Passwords found and set the number
224. of Weak Passwords found in the Status Monitor to zero, press
225. <F2>.
226.  
227.  
228. Change Password (<F3> Change Pswd)
229. ----------------------------------
230.  
231. To change a user's weak password, select the user (using the
232. <Up>/<Down> arrow keys) and press <F3>.
233.  
234.  
235. Expire Password (<F4> Expire)
236. -----------------------------
237. To expire a user's weak password, select the user (using the
238. <Up>/<Down> arrow keys) and press <F4>.
239.  
240. Users will be required to change their passwords the next
241. time they log into the server.
242.  
243. * Note: this option will only work if the server has been
244.   configured to expire passwords using SYSCON or NWADMIN.
245.  
246.  
247. Printing the List (<F5> Print)
248. ------------------------------
249. To print the list of passwords, press <F5>. You must have a
250. print queue defined on the server.
251.  
252.                      Important Warning!
253.  
254. For security reasons it is not recommended to make or keep
255. any hard copies of password lists. Dispose of any hard
256. copies you make as soon as possible in a secure manner.
257.  
258.  
259. Return to the Main Menu and Status Monitor (<ESC> Exit)
260. -------------------------------------------------------
261. To return to the Main Menu and Status Monitor, press <ESC>.
262. For security reasons, SmartPass will return to the Main Menu
263. automatically if the keyboard is inactive for more than two
264. minutes.
265.  
266.  
267.  
268.  
269.  
270.                        Program Options
271.                        ===============
272.  
273.  
274.  
275. To change the SmartPass Program Options, select <Program
276. Options> from the Main Menu.
277.  
278.  
279.  
280. Moving Around the Program Options Screen
281. ----------------------------------------
282. To select the option you wish to change, use the <Up>/<Down>
283. arrow keys. To switch to and from the Databases to Scan
284. list, press the <F10> key. To change a selected option, use
285. the <Left>/<Right> arrow keys. To change any text field of a
286. selected option (e.g. User name to notify or Scan start
287. time), use the <Left> or <Right> arrow and type the text.
288.  
289. The following program options are available:
290.  
291.  
292. Users Whose Passwords to Check
293. ==============================
294. Two options are available:
295.  
296.      All Users (Default):
297.      --------------------
298.      Will scan All Users (Including Supervisors) for weak
299.      passwords.
300.      
301.      Supervisors Only:
302.      -----------------
303.      Will scan only Users with Supervisor rights for weak
304.      passwords.
305.  
306.  
307.  
308. Scan Order
309. ==========
310. Two options are available:
311.  
312.      All databases per User (Default):
313.      ---------------------------------
314.      SmartPass scans all selected weak password databases
315.      for each user.  When SmartPass is done scanning one
316.      user for all databases it will go on to the next user.
317.      
318.      All Users per Database:
319.      -----------------------
320.      Scans all users for each selected weak password
321.      database. When SmartPass is done scanning all users for
322.      one database it will go on to the next database.
323.      
324.      In both cases SmartPass is scanning all users for all
325.      selected databases, the only difference is the scanning
326.      order.
327.  
328.  
329.  
330. Administrator to Notify
331. =======================
332. A text field that contains a valid user name that will
333. receive a broadcast message when weak passwords are found.
334.  
335. Default is SUPERVISOR.
336.  
337. You may enter the user name of an administrator to notify
338. when weak passwords are found.
339.  
340.  
341. Schedule a Scan
342. ===============
343. Four options are available:
344.  
345.      Every Day (Default):
346.      -------------------
347.      SmartPass will automatically start a scan every day at
348.      the time specified in <Scan Start Time>.
349.      
350.      Weekends:
351.      ---------
352.      SmartPass will automatically start a scan on Saturdays
353.      and Sundays at the time specified in <Scan Start Time>.
354.      
355.      Weekdays:
356.      ---------
357.      SmartPass will automatically start a scan every day
358.      except Saturdays and Sundays at the time specified in
359.      <Scan Start Time>.
360.      
361.      None:
362.      -----
363.      No scheduled scan - ignores the <Scan Start Time>.
364.  
365.  
366. Scan Start Time
367. ===============
368.  
369. A 24 hour clock is used (Default is 20:00:00).
370.  
371. Here you may specify the time to start the scan specified in
372. the <Schedule a Scan> option.
373.  
374. For example, if you wish SmartPass to start a scan every day
375. at 11:00pm:
376.  
377. 1. Set the Schedule a Scan option to Every Day.
378. 2. Type in the Scan Start Time field: 23:00:00
379.  
380.  
381.  
382. Automatically Scan User After Password Change
383. =============================================
384. Two options are available:
385.  
386.      Enabled (Default):
387.      ------------------
388.      When a user changes his/her password, SmartPass will
389.      automatically scan the new password.
390.      
391.      Disabled:
392.      ---------
393.      Automatic Scan on change password is disabled.
394.  
395.  
396. It is recommended to leave this option enabled. Once you
397. have scanned all users for weak passwords using the
398. Scheduler or manually from the Main Menu, SmartPass will
399. automatically scan all new passwords introduced by users to
400. the server (i.e. by using the SETPASS program).
401.  
402.  
403. Automatically Expire Weak Passwords If Found
404. ============================================
405. Two options are available:
406.  
407.      Enabled (Default):
408.      ------------------
409.      When a weak password is found, SmartPass will
410.      automatically expire it, thus forcing the user to
411.      change it the next time he/she logs into the server.
412.      
413.      Disabled:
414.      ---------
415.      Automatically Expire Weak Passwords is disabled.
416.  
417.  
418.  
419.  
420. Notify Weak Password Owner
421. ==========================
422. Two options are available:
423.  
424.      Enabled (Default):
425.      ------------------
426.      When a weak password is found, SmartPass will
427.      automatically notify the user who owns the password by
428.      sending a network message.
429.      
430.      Disabled:
431.      ---------
432.      Notify Weak Password owner is disabled.
433.  
434.  
435.  
436. Selecting Databases to Scan
437. ===========================
438.  
439. To Select Databases to Scan, press <F10>.
440.  
441. You may use the <Up>/<Down> arrow keys to scroll through the
442. different databases available. Use the <ENTER> key to
443. Select/Deselect the databases SmartPass will use to scan for
444. weak passwords.
445.  
446. A selected database will be marked with a check mark.
447.  
448. Press <F10> to switch back to the program options.
449.  
450.  
451.  
452.      Available Databases
453.      -------------------
454.      Matching User Names & Passwords
455.      Blank Passwords
456.      United States Dates (mm/dd/yy)
457.      European Dates (dd/mm/yy)
458.      Places Around The Globe
459.      Common English Words
460.      Computer Terms & Jargon
461.      Famous People
462.      Common First Names
463.      Common Last Names
464.      Common Passwords
465.  
466.  
467.  
468. Defining Your Own Databases
469. ===========================
470.  
471. SmartPass allows you to add up to 16 user-defined databases.
472. When SmartPass loads, it scans for any file with a .TXT
473. extension that exists in the SmartPass program directory and
474. assumes this to be a user defined database.  These databases
475. (*.TXT) will be added to the "Program Options - Databases To
476. Scan" list, though they will not be selected.  Go to the
477. "Program Options" screen and enable the databases you wish
478. to scan.
479.  
480. To see a sample user-defined database, load "USER.TXT" in a
481. text editor. The first line of this database contains a
482. description followed by the number of passwords in the
483. database.  The following lines contain the passwords.
484.  
485.  
486.  
487. Unloading SmartPass
488. ===================
489.  
490. To unload SmartPass - Select <Exit and Unload> from the Main
491. Menu.
492.  
493.  
494. Why are the SmartPass databases encrypted ?
495. ===========================================
496.  
497. Although hackers and intruders have easy access to weak
498. password databases, we thought it would not be smart to make
499. the SmartPass databases available in a simple text format.
500. We would not want these Databases be used with existing
501. hacking tools.  This is also the main reason why SmartPass
502. is a server-based application (NLM) and not a workstation
503. application that can be accessed by any user.
504.  
505.  
506.  
507. How to Improve the Security on your NetWare Servers
508. ====================================================
509.  
510. The following options can be set from the SYSCON.EXE or the
511. NWADMIN.EXE.
512.  
513. 1. Turn on the Intruder Detection option.
514. 2. Require users to pick long passwords (8 characters
515.    minimum).
516. 3. Require Users to change their passwords frequently.
517. 4. Require Users to use unique passwords (different password
518.    every time they change it).
519.  
520. The following are security tools which are available for
521. NetWare Servers.
522.  
523. 1. Install a Weak Password Analyzer. Passwords are the only
524.    line of defense for NetWare Servers: scan your users for
525.    weak passwords at least once a weak (use SmartPass
526.    of course!). Turn on the automatic scan for every
527.    password change: this will ensure that any new user or
528.    new password is scanned.
529.  
530. 2. Install a Security Auditing NLM - it will provide you
531.    with all of the "who, when and where" information for
532.    access to your server.
533.  
534. 3. Install an Anti-Virus NLM - Viruses are a great threat
535.    for servers, especially if the supervisors or
536.    administrators are infected.
537.  
538. 4. Make frequent and regular backups of your server.
539.    Take the backup tapes off-site. A recent backup will put
540.    your server back to work even after a disaster.
541.  
542.  
543.  
544.  
545.  
546.                Contacting e.g. Software, Inc.
547.                ==============================
548.  
549.  
550. e.g. Software, Inc.
551. (503) 294-0317 Sales
552. (503) 294-7025 Main
553. (503) 294-7130 FAX
554. (503) 294-7195 BBS
555.  
556.