PTH e password salate

Naviga le tue risposte
1

Vedo molta documentazione là fuori che incolpa PtH sui sistemi operativi Windows sulla natura non salda degli hash LM / NT.

Questa congettura non è sbagliata? L'introduzione della salatura (se il sale è deterministico / ad es. Nome utente + dominio + password) ridurrebbe al minimo il problema del crack delle password offline e non risolverebbe il problema di PtH.

Ho ragione in questo modo di pensare? Perché tutte queste aziende e persone dicono che il problema è radicato a causa della natura non salda dell'hash?

    
posta Jack R. 21.11.2017 - 08:50
fonte

1 risposta

1

Non salatura è abbastanza piccola. Il problema diventa il riutilizzo delle credenziali, ad esempio qualcuno che utilizza la stessa password su più account. Questo diventa ancora più un problema quando gli amministratori riutilizzano la stessa password su un account amministratore macchina locale sul loro account di dominio.

Passa l'hash è un problema comune a tutti gli algoritmi di risposta alla sfida che richiedono un segreto condiviso disponibile nello stesso modulo ad entrambe le estremità (in questo caso l'hash). Entrambe le estremità richiedono il segreto per rispondere / verificare le sfide. Windows ha scelto questo approccio perché consente la comunicazione in chiaro sul cavo. Ci sono due alternative di cui sono a conoscenza -

  • autenticazione password tradizionale. Cioè la password viene inviata al server e verificata con l'hash memorizzato lì. Tuttavia, hai bisogno di una connessione criptata o rischi gli attacchi Man in the Middle.
  • Verifica della chiave pubblica / privata. Il server memorizza la chiave pubblica dell'utente e il client si dimostra con la chiave privata. Lo svantaggio principale qui è che ricordare una chiave privata è sostanzialmente più difficile per il cliente che ricordare una password. Ciò può essere evitato derivando la chiave privata da una password (utilizzando la password + sale come seme per un generatore di numeri casuali che viene utilizzato per generare la chiave privata).
risposta data 21.11.2017 - 10:21
fonte

Leggi altre domande sui tag

Come proteggere la mia e le password degli altri sul computer utilizzato dal mio addetto alla reception? È sicuro eseguire query MySQL su un dispositivo client?