Windows usa ancora MD4 non salato per l'archiviazione delle password?

16

Trovo abbastanza difficile credere che le password in Active Directory per Windows 2008 R2 siano ancora archiviate utilizzando l'algoritmo MD4 non salato (noto anche come "Hash NT").

Può davvero essere vero?

Recentemente sto rivedendo le mie conoscenze sull'archiviazione delle password e apprendo come utilizzare correttamente PKDBF2. Poi ho pensato di consultare le principali organizzazioni commerciali utilizzate. A quel punto ho messo la testa tra le mani! Senza valore MD4 in Windows. E questo è un miglioramento sull'hash LM. E ci sono molti altri cattivi esempi. / etc / shadow con una cripta decente è solo l'unica buona implementazione in ambito commerciale / opensource.

OLD_PASSWORD di MySQL è terribile, anche la nuova PASSWORD è SHA-1 non salata due volte.

Il settore commerciale / opensource è davvero così brutto?

    
posta Richard Gadsden 07.07.2011 - 19:26
fonte

1 risposta

15

NTLMv1 usa MD4, v2 usa MD5 e l'implementazione di Kerberos di Windows (credo - non ho il libro con le specifiche che mi siedono di fronte) usa qualcos'altro. Active Directory può effettivamente archiviare più tipi di hash di password in base a ciò che si desidera che faccia e alle versioni dei protocolli abilitati.

Sì, Active Directory utilizza password non protette. È un problema di sicurezza? Teoricamente sì, ma in pratica probabilmente no. Il database AD è stato progettato per essere archiviato in un ambiente protetto in cui solo le persone fidate hanno accesso al file effettivo e solo i sistemi affidabili possono leggere i dati nel file. Un sale aggiunge davvero valore solo se il particolare archivio contenente la password è accessibile da persone potenzialmente non fidate e / o sistemi non attendibili come un database SQL che contiene anche contenuti. Se stai permettendo a chiunque e chiunque di accedere al database di AD hai problemi più grandi di quelli con password.

Quindi, naturalmente, anche l'altra faccia di questo va alla retrocompatibilità. Microsoft deve assicurarsi che la versione corrente di AD sia retrocompatibile con le versioni precedenti a 4. Questo è buono per la sicurezza? Non proprio, ma sarebbero crocifissi se le versioni non fossero compatibili. Stanno cambiando gli hash con qualcosa di più sicuro? Sì, anche se lentamente.

    
risposta data 07.07.2011 - 20:41
fonte

Leggi altre domande sui tag