Mi riferisco alla password "memorizzata" conservata dal dominio in modo che un utente non possa riutilizzare tale password fino a quando non è scaduta in ciò che è stato impostato in Politica password su DC (W2003 / W2008).
Dove è memorizzata la cronologia delle password?
Gli storici hash delle password sono memorizzati nel SAM insieme a quello attuale, quindi sono sicuramente altrettanto irrisolvibili.
Ero abituato a eseguire audit della forza della password per i grandi dati finanziari, e parte dell'output sarebbe stata l'analisi del numero di persone che hanno riutilizzato le password con solo una modifica alla cifra finale (indovina quanto grande è la percentuale!) PWDump e John the Ripper li ha attraversati abbastanza felicemente :-) In effetti, potresti ottenere alcuni benefici dalla cronologia delle password che potrebbero aiutarti a distruggere quelli che il forcer brutale non potrebbe facilmente ottenere.
Per eliminare questi hash storici, puoi provare a impostare la cronologia su 0 nelle impostazioni di sicurezza e applicare una modifica della password. Potrebbe farlo, ma non lo so onestamente. In ogni caso questo totalmente sconfigge la tua politica della password se si spera di mantenerne uno.
Non riesco a trovarlo ora, ma ho visto una proposta di ricercatori universitari a Microsoft su come risolvere il problema. Hanno uno schema crittografico per preservare la funzionalità corrente (comprese le politiche di cronologia delle password, penso), ma evitano i normali attacchi alle vecchie password.
Leggi altre domande sui tag windows passwords active-directory password-management