home *** CD-ROM | disk | FTP | other *** search
/ Gold Medal Software 3 / Gold Medal Software - Volume 3 (Gold Medal) (1994).iso / netutils / smrtpw.arj / README < prev    next >
Text File  |  1994-03-22  |  17KB  |  556 lines
  1.         SmartPass(tm) v1.0 Password Security Analyzer
  2.    Copyright 1994, e.g. Software, Inc. All Rights Reserved
  3.  
  4.  
  5.                      ==================
  6.                      What is SmartPass?
  7.                      ==================
  8.  
  9. SmartPass is a NetWare Loadable Module (NLM) that works on
  10. Novell NetWare Servers.  It is designed to identify
  11. potential holes in your server security system by scanning
  12. your user accounts against pre-defined databases of easy to
  13. guess or obvious ("weak") passwords.
  14.  
  15. SmartPass comes equipped with more than 10 databases
  16. containing over 120,000 common passwords such as:
  17.  
  18.      Common Words
  19.      Computer Jargon
  20.      Names of Famous People
  21.      Common First and Last Names
  22.      Places Around the Globe
  23.      etc...
  24.  
  25. In addition to these databases, SmartPass utilizes
  26. algorithms to identify other common passwords sequences such
  27. as:
  28.      Blank Passwords
  29.      Matching User Names and Passwords
  30.      Dates (American & European formats)
  31.  
  32. SmartPass compares each password in the selected databases
  33. to each of the user accounts on the server and compiles a
  34. list of "weak" passwords found.
  35.  
  36. SmartPass allows you to customize different password
  37. scanning options and provides the following features:
  38.  
  39.      Enable/Disable individual databases to scan.
  40.      Support for user-supplied databases.
  41.      Scan "All Users" or "Supervisors Only."
  42.      Scheduler for automatic scanning.
  43.      User and/or Supervisor alerting when weak passwords are
  44.         found.
  45.      Automatically expire weak passwords.
  46.      Scan automatically when passwords are changed.
  47.      On-screen display of scan progress.
  48.      Secured list of weak passwords found.
  49.      No modification of user account or workstations setup
  50.         needed.
  51.      Server-based solution - no TSRs needed.
  52.  
  53.  
  54. With SmartPass installed and used on a regular basis, your
  55. server's vulnerability to intruders and hackers is
  56. significantly reduced.
  57.  
  58.  
  59.                 ============================
  60.                 Why you should use SmartPass
  61.                 ============================
  62.  
  63.  
  64. The most sophisticated network security system is
  65. ineffective when weak passwords are used.  A single user or
  66. supervisor with a weak password may be the backdoor to your
  67. entire network.
  68.  
  69. This risk is magnified in open networks where you have no
  70. control over the individuals that may try to access your
  71. network.  Examples of open networks are:
  72.  
  73.      * Dial-in servers connected to your network.
  74.      * Use of remote control packages on workstations
  75.        attached to your network.
  76.      * Wide Area Networks (WANs) with inter-network
  77.        access from multiple sites.
  78.      * Internet access to your server.
  79.      * Remote node connections via modem.
  80.      * Wireless networks.
  81.  
  82. For both open and local networks, your control of who is
  83. accessing or trying to access your network is minimal.
  84. Since your security system relies entirely on the strength
  85. of users' passwords, SmartPass ensures that a weak password
  86. will not undermine the security of your network.
  87.  
  88.  
  89.  
  90.                     ====================
  91.                     Installing SmartPass
  92.                     ====================
  93.  
  94.  
  95. You must have Supervisor rights to the server on which you
  96. will be installing SmartPass.  You will also need either
  97. physical access to the server console or to use RCONSOLE.
  98.  
  99. 1) From a workstation, login to the server on which you wish
  100.    to install SmartPass.
  101.  
  102. 2) Make a sub-directory on your server that will hold the
  103.    SmartPass program.  It is recommended that you put this
  104.    on the SYS: volume and name it SMRTPASS.
  105.  
  106. 3) Copy all of the files from the SmartPass program diskette
  107.    into this sub-directory (i.e. COPY A:\*.* SMRTPASS).
  108.  
  109.  
  110.  
  111.  
  112.                ==============================
  113.                Hardware/Software Requirements
  114.                ==============================
  115.  
  116.  
  117. * NetWare 3.11, 3.12, 4.x, or SFT III
  118. * 300K of free memory on server
  119. * 1.5 MB of free disk space on server
  120. * 3.5" 1.44 MB high-density floppy drive
  121.  
  122.  
  123.  
  124.  
  125.                       =================
  126.                       Loading SmartPass
  127.                       =================
  128.  
  129. To load SmartPass from the server console or from the
  130. RCONSOLE program, switch to the "System Console."  From the
  131. ":" prompt type "LOAD SYS:SMRTPASS\SMRTPASS.NLM" and press
  132. the <ENTER> key.
  133.  
  134. If you would like SmartPass to load every time the server is
  135. booted, edit your AUTOEXEC.NCF file and add the line:
  136.  
  137.                LOAD SYS:SMRTPASS\SMRTPASS.NLM
  138.  
  139.  
  140.  
  141.  
  142.                        ===============
  143.                        Using SmartPass
  144.                        ===============
  145.  
  146.  
  147.  
  148.  
  149.                      The Status Monitor
  150.                      ==================
  151.  
  152.  
  153. Immediately after loading SmartPass, the Status Monitor is
  154. displayed at the top of the screen with the Main Menu
  155. underneath it.
  156.  
  157. The Status Monitor displays initial data about the system
  158. such as: Number of Users on this server, Number of databases
  159. selected, and Total Number of passwords in the selected
  160. databases.  SmartPass also estimates how many passwords will
  161. be verified per second and the total time it will take to
  162. scan all the Users or Supervisors against the selected
  163. databases.
  164.  
  165. When a scan is started, the above-mentioned information is
  166. updated every second, and the monitor displays the current
  167. user and database being scanned as well as the number of
  168. weak passwords found so far.
  169.  
  170.  
  171.  
  172.  
  173.              Starting a Scan for Weak Passwords
  174.              ==================================
  175.  
  176.  
  177. To Start a scan for weak passwords, simply select the <Start
  178. Password Scan> entry from the Main Menu (under the Status
  179. Monitor).
  180.  
  181. Once the scan begins, the Main Menu displays two new
  182. options:
  183.  
  184.      <Stop Password Scan> - stops the scan immediately.
  185. <View Weak Passwords> - suspends the scan and displays
  186.         the weak passwords found so far.
  187.  
  188. *Note: To view the Weak Passwords List, a user name and
  189. password must be provided that has supervisor rights.
  190.  
  191. During the scan, press:
  192.  
  193.      <F2> to suspend the scan.
  194.      <F3> to skip to the next User.
  195.      <F4> to skip to the next Database.
  196.  
  197.  
  198.  
  199.                   View Weak Passwords Found
  200.                   =========================
  201.  
  202.  
  203. When a scan for weak passwords is finished, the Main Menu
  204. reverts to its original format. You can then select the
  205. <View Weak Passwords Found> option. To view the weak
  206. passwords list, a user name and password must be provided
  207. that has supervisor rights.
  208.  
  209. The list of weak passwords displays the User Name, the Weak
  210. Password found and the Database of Weak Passwords in which
  211. it was found.
  212.  
  213. Individual users can be highlighted using the <Up>/<Down>
  214. arrow keys.
  215.  
  216. The following options are available when viewing the Weak
  217. Passwords List.
  218.  
  219.  
  220.  
  221. Clear the List of Weak Passwords - (<F2> Clear List)
  222. -----------------------------------------------
  223. To clear the list of Weak Passwords found and set the number
  224. of Weak Passwords found in the Status Monitor to zero, press
  225. <F2>.
  226.  
  227.  
  228. Change Password (<F3> Change Pswd)
  229. ----------------------------------
  230.  
  231. To change a user's weak password, select the user (using the
  232. <Up>/<Down> arrow keys) and press <F3>.
  233.  
  234.  
  235. Expire Password (<F4> Expire)
  236. -----------------------------
  237. To expire a user's weak password, select the user (using the
  238. <Up>/<Down> arrow keys) and press <F4>.
  239.  
  240. Users will be required to change their passwords the next
  241. time they log into the server.
  242.  
  243. * Note: this option will only work if the server has been
  244.   configured to expire passwords using SYSCON or NWADMIN.
  245.  
  246.  
  247. Printing the List (<F5> Print)
  248. ------------------------------
  249. To print the list of passwords, press <F5>. You must have a
  250. print queue defined on the server.
  251.  
  252.                      Important Warning!
  253.  
  254. For security reasons it is not recommended to make or keep
  255. any hard copies of password lists. Dispose of any hard
  256. copies you make as soon as possible in a secure manner.
  257.  
  258.  
  259. Return to the Main Menu and Status Monitor (<ESC> Exit)
  260. -------------------------------------------------------
  261. To return to the Main Menu and Status Monitor, press <ESC>.
  262. For security reasons, SmartPass will return to the Main Menu
  263. automatically if the keyboard is inactive for more than two
  264. minutes.
  265.  
  266.  
  267.  
  268.  
  269.  
  270.                        Program Options
  271.                        ===============
  272.  
  273.  
  274.  
  275. To change the SmartPass Program Options, select <Program
  276. Options> from the Main Menu.
  277.  
  278.  
  279.  
  280. Moving Around the Program Options Screen
  281. ----------------------------------------
  282. To select the option you wish to change, use the <Up>/<Down>
  283. arrow keys. To switch to and from the Databases to Scan
  284. list, press the <F10> key. To change a selected option, use
  285. the <Left>/<Right> arrow keys. To change any text field of a
  286. selected option (e.g. User name to notify or Scan start
  287. time), use the <Left> or <Right> arrow and type the text.
  288.  
  289. The following program options are available:
  290.  
  291.  
  292. Users Whose Passwords to Check
  293. ==============================
  294. Two options are available:
  295.  
  296.      All Users (Default):
  297.      --------------------
  298.      Will scan All Users (Including Supervisors) for weak
  299.      passwords.
  300.      
  301.      Supervisors Only:
  302.      -----------------
  303.      Will scan only Users with Supervisor rights for weak
  304.      passwords.
  305.  
  306.  
  307.  
  308. Scan Order
  309. ==========
  310. Two options are available:
  311.  
  312.      All databases per User (Default):
  313.      ---------------------------------
  314.      SmartPass scans all selected weak password databases
  315.      for each user.  When SmartPass is done scanning one
  316.      user for all databases it will go on to the next user.
  317.      
  318.      All Users per Database:
  319.      -----------------------
  320.      Scans all users for each selected weak password
  321.      database. When SmartPass is done scanning all users for
  322.      one database it will go on to the next database.
  323.      
  324.      In both cases SmartPass is scanning all users for all
  325.      selected databases, the only difference is the scanning
  326.      order.
  327.  
  328.  
  329.  
  330. Administrator to Notify
  331. =======================
  332. A text field that contains a valid user name that will
  333. receive a broadcast message when weak passwords are found.
  334.  
  335. Default is SUPERVISOR.
  336.  
  337. You may enter the user name of an administrator to notify
  338. when weak passwords are found.
  339.  
  340.  
  341. Schedule a Scan
  342. ===============
  343. Four options are available:
  344.  
  345.      Every Day (Default):
  346.      -------------------
  347.      SmartPass will automatically start a scan every day at
  348.      the time specified in <Scan Start Time>.
  349.      
  350.      Weekends:
  351.      ---------
  352.      SmartPass will automatically start a scan on Saturdays
  353.      and Sundays at the time specified in <Scan Start Time>.
  354.      
  355.      Weekdays:
  356.      ---------
  357.      SmartPass will automatically start a scan every day
  358.      except Saturdays and Sundays at the time specified in
  359.      <Scan Start Time>.
  360.      
  361.      None:
  362.      -----
  363.      No scheduled scan - ignores the <Scan Start Time>.
  364.  
  365.  
  366. Scan Start Time
  367. ===============
  368.  
  369. A 24 hour clock is used (Default is 20:00:00).
  370.  
  371. Here you may specify the time to start the scan specified in
  372. the <Schedule a Scan> option.
  373.  
  374. For example, if you wish SmartPass to start a scan every day
  375. at 11:00pm:
  376.  
  377. 1. Set the Schedule a Scan option to Every Day.
  378. 2. Type in the Scan Start Time field: 23:00:00
  379.  
  380.  
  381.  
  382. Automatically Scan User After Password Change
  383. =============================================
  384. Two options are available:
  385.  
  386.      Enabled (Default):
  387.      ------------------
  388.      When a user changes his/her password, SmartPass will
  389.      automatically scan the new password.
  390.      
  391.      Disabled:
  392.      ---------
  393.      Automatic Scan on change password is disabled.
  394.  
  395.  
  396. It is recommended to leave this option enabled. Once you
  397. have scanned all users for weak passwords using the
  398. Scheduler or manually from the Main Menu, SmartPass will
  399. automatically scan all new passwords introduced by users to
  400. the server (i.e. by using the SETPASS program).
  401.  
  402.  
  403. Automatically Expire Weak Passwords If Found
  404. ============================================
  405. Two options are available:
  406.  
  407.      Enabled (Default):
  408.      ------------------
  409.      When a weak password is found, SmartPass will
  410.      automatically expire it, thus forcing the user to
  411.      change it the next time he/she logs into the server.
  412.      
  413.      Disabled:
  414.      ---------
  415.      Automatically Expire Weak Passwords is disabled.
  416.  
  417.  
  418.  
  419.  
  420. Notify Weak Password Owner
  421. ==========================
  422. Two options are available:
  423.  
  424.      Enabled (Default):
  425.      ------------------
  426.      When a weak password is found, SmartPass will
  427.      automatically notify the user who owns the password by
  428.      sending a network message.
  429.      
  430.      Disabled:
  431.      ---------
  432.      Notify Weak Password owner is disabled.
  433.  
  434.  
  435.  
  436. Selecting Databases to Scan
  437. ===========================
  438.  
  439. To Select Databases to Scan, press <F10>.
  440.  
  441. You may use the <Up>/<Down> arrow keys to scroll through the
  442. different databases available. Use the <ENTER> key to
  443. Select/Deselect the databases SmartPass will use to scan for
  444. weak passwords.
  445.  
  446. A selected database will be marked with a check mark.
  447.  
  448. Press <F10> to switch back to the program options.
  449.  
  450.  
  451.  
  452.      Available Databases
  453.      -------------------
  454.      Matching User Names & Passwords
  455.      Blank Passwords
  456.      United States Dates (mm/dd/yy)
  457.      European Dates (dd/mm/yy)
  458.      Places Around The Globe
  459.      Common English Words
  460.      Computer Terms & Jargon
  461.      Famous People
  462.      Common First Names
  463.      Common Last Names
  464.      Common Passwords
  465.  
  466.  
  467.  
  468. Defining Your Own Databases
  469. ===========================
  470.  
  471. SmartPass allows you to add up to 16 user-defined databases.
  472. When SmartPass loads, it scans for any file with a .TXT
  473. extension that exists in the SmartPass program directory and
  474. assumes this to be a user defined database.  These databases
  475. (*.TXT) will be added to the "Program Options - Databases To
  476. Scan" list, though they will not be selected.  Go to the
  477. "Program Options" screen and enable the databases you wish
  478. to scan.
  479.  
  480. To see a sample user-defined database, load "USER.TXT" in a
  481. text editor. The first line of this database contains a
  482. description followed by the number of passwords in the
  483. database.  The following lines contain the passwords.
  484.  
  485.  
  486.  
  487. Unloading SmartPass
  488. ===================
  489.  
  490. To unload SmartPass - Select <Exit and Unload> from the Main
  491. Menu.
  492.  
  493.  
  494. Why are the SmartPass databases encrypted ?
  495. ===========================================
  496.  
  497. Although hackers and intruders have easy access to weak
  498. password databases, we thought it would not be smart to make
  499. the SmartPass databases available in a simple text format.
  500. We would not want these Databases be used with existing
  501. hacking tools.  This is also the main reason why SmartPass
  502. is a server-based application (NLM) and not a workstation
  503. application that can be accessed by any user.
  504.  
  505.  
  506.  
  507. How to Improve the Security on your NetWare Servers
  508. ====================================================
  509.  
  510. The following options can be set from the SYSCON.EXE or the
  511. NWADMIN.EXE.
  512.  
  513. 1. Turn on the Intruder Detection option.
  514. 2. Require users to pick long passwords (8 characters
  515.    minimum).
  516. 3. Require Users to change their passwords frequently.
  517. 4. Require Users to use unique passwords (different password
  518.    every time they change it).
  519.  
  520. The following are security tools which are available for
  521. NetWare Servers.
  522.  
  523. 1. Install a Weak Password Analyzer. Passwords are the only
  524.    line of defense for NetWare Servers: scan your users for
  525.    weak passwords at least once a weak (use SmartPass
  526.    of course!). Turn on the automatic scan for every
  527.    password change: this will ensure that any new user or
  528.    new password is scanned.
  529.  
  530. 2. Install a Security Auditing NLM - it will provide you
  531.    with all of the "who, when and where" information for
  532.    access to your server.
  533.  
  534. 3. Install an Anti-Virus NLM - Viruses are a great threat
  535.    for servers, especially if the supervisors or
  536.    administrators are infected.
  537.  
  538. 4. Make frequent and regular backups of your server.
  539.    Take the backup tapes off-site. A recent backup will put
  540.    your server back to work even after a disaster.
  541.  
  542.  
  543.  
  544.  
  545.  
  546.                Contacting e.g. Software, Inc.
  547.                ==============================
  548.  
  549.  
  550. e.g. Software, Inc.
  551. (503) 294-0317 Sales
  552. (503) 294-7025 Main
  553. (503) 294-7130 FAX
  554. (503) 294-7195 BBS
  555.  
  556.