Trovo abbastanza difficile credere che le password in Active Directory per Windows 2008 R2 siano ancora archiviate utilizzando l'algoritmo MD4 non salato (noto anche come "Hash NT").
Può davvero essere vero?
Recentemente sto rivedendo le mie conoscenze sull'archiviazione delle password e apprendo come utilizzare correttamente PKDBF2. Poi ho pensato di consultare le principali organizzazioni commerciali utilizzate. A quel punto ho messo la testa tra le mani! Senza valore MD4 in Windows. E questo è un miglioramento sull'hash LM. E ci sono molti altri cattivi esempi. / etc / shadow con una cripta decente è solo l'unica buona implementazione in ambito commerciale / opensource.
OLD_PASSWORD di MySQL è terribile, anche la nuova PASSWORD è SHA-1 non salata due volte.
Il settore commerciale / opensource è davvero così brutto?