Quando un utente accede con credenziali di dominio su un computer Windows 7, presumo che una sorta di stretta di mano avvenga con il server di accesso / controller di dominio, dove l'hash ntlm inviato dall'utente viene confrontato con l'hash sul controller di dominio .
Se questo è il caso, è possibile annusare il traffico di rete inviato ai controller di dominio per intercettare gli hash delle password usando gli attacchi arp spoofing / mtim? O gli hash stessi sono criptati in transito?
Sì, nel caso di accesso interattivo e qualsiasi autenticazione basata su rete "Windows", gli hash sono protetti durante il transito. Né Kerberos né NTLM inviano un hash, invece l'handshake utilizza varie crittografie per dimostrare che l'utente conosce la password senza mai inviarla. NTLMv1 utilizza una crittografia MOLTO debole e si rompe facilmente. NTLMv2 e Kerberos sono entrambi molto forti per ora. Detto questo, se un utente malintenzionato riesce a catturare i pacchetti di autenticazione, può utilizzare la forza bruta per trovare la password. Questo è il motivo per cui è fondamentale richiedere password lunghe e complesse. link