search

O que poderia ser implementado para impedir que os dois hashes das senhas sejam iguais?

1 anos atrás
Comentários: 0
Visualizações: 35

Avançar para o conteúdo principal

Não há mais suporte para esse navegador.

Show

Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.

Visão geral técnica das senhas

  • Artigo
  • 04/02/2022
  • 12 minutos para o fim da leitura

Neste artigo

aplica-se a: Windows server 2022, Windows server 2019, Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows 7, Windows server 2003, Windows server 2008, Windows server 2008 R2, Windows Vista

este tópico para o profissional de ti explica como Windows implementa senhas em versões do Windows começando com Windows Server 2012 e Windows 8.1. Ele também aborda senhas fortes, frases secretas e políticas de senha.

Como as senhas são armazenadas no Windows

Este artigo fornece informações sobre o armazenamento de senhas "em repouso".

Windows representa senhas em cadeias de caracteres UNICODE 256, mas a caixa de diálogo de logon é limitada a 127 caracteres. Portanto, a senha mais longa possível tem 127 caracteres. Programas como serviços podem usar senhas mais longas, mas devem ser definidos programaticamente.

o sistema operacional Windows armazena senhas de várias maneiras diferentes para finalidades diferentes.

Senhas armazenadas como OWF

para uso em Windows rede, incluindo domínios de Active Directory, a senha é armazenada de duas maneiras diferentes por padrão: como a função unidirecional do gerenciador de LAN (LM OWF) e o NT owf. "Função unidirecional" é um termo que denota uma transformação matemática unidirecional de dados. Os dados que estão sendo transformados só podem ser convertidos por meio da criptografia de uma maneira e não podem ser revertidos. O tipo mais comum de função unidirecional em uso é um hash criptográfico. Um hash é um pequeno conjunto de dados que está matematicamente vinculado a um conjunto maior de dados do qual o hash é calculado. Se o conjunto maior de dados for alterado, o hash também será alterado. Os hashes são úteis, por exemplo, como uma soma de verificação para verificar se os dados não foram modificados na transmissão. Um hash criptográfico é um hash que atende a determinadas propriedades. Um hash criptográfico deve, por exemplo, ser criado de forma matematicamente inviável em uma quantidade razoável de tempo para inferir o conjunto maior de dados apenas do hash. Da mesma forma, é matematicamente impossível localizar dois conjuntos de dados grandes que geram o mesmo hash.

Há muitos tipos diferentes de funções unidirecionais. Todas as funções de hash são, por definição, funções unidirecionais. No entanto, as funções criptográficas comuns que normalmente são reversível também podem ser usadas para criar uma função unidirecional. Isso pode ser feito alternando os dados e a chave em uma função criptográfica e criptografando o valor fixo (a chave) usando os dados como a chave. É assim que o hash do LM é computado. O hash do LM é calculado da seguinte maneira:

  1. A senha é preenchida com bytes nulos para exatamente 14 caracteres. Se a senha tiver mais de 14 caracteres, ela será substituída por 14 bytes nulos para as operações restantes.
  2. A senha é convertida em maiúsculas.
  3. A senha é dividida em chaves de 2 7 bytes (56 bits).
  4. Cada chave é usada para criptografar uma cadeia de caracteres fixa.
  5. Os dois resultados da etapa 4 são concatenados e armazenados como o hash LM.

o algoritmo LM OWF está incluído no Windows para compatibilidade com versões anteriores com software e hardware que não podem usar algoritmos mais recentes.

O hash NT é simplesmente um hash. A senha é armazenada em hash usando o algoritmo MD4 e armazenado. o NT OWF é usado para autenticação por membros do domínio em Windows NT 4,0 e domínios anteriores e em domínios Active Directory.

Nem o hash NT nem o hash LM são salted. O Salting é um processo que combina a senha com um valor numérico aleatório (o Salt) antes de calcular a função unidirecional.

Senhas armazenadas no Active Directory

As senhas em repouso são armazenadas em vários atributos do banco de dados Active Directory (NTDS. Arquivo DIT). Esses atributos são listados na tabela a seguir:

Active Directory atributoConteúdo
unicodePwd Hash NT criptografado
dbcsPwd Hash LM criptografado
ntPwdHistory Hashes NT criptografados-histórico de senha
lmPwdHistory Hashes LM criptografados-histórico de senha
supplementalCredentials Chaves Kerberos, WDigest, etc.

Observação

o armazenamento de hashes do LM é desabilitado por padrão, pois o Windows Vista e o Windows Server 2008.

Quando armazenado no arquivo DIT, o hash NT é protegido por duas camadas de criptografia. no Windows Server 2016/Windows 10 e versões posteriores, ele é criptografado primeiro com DES para compatibilidade com versões anteriores e, em seguida, com o cng BCrypt AES-256 (consulte cngBCRYPT_AES_ALGORITHM). as versões anteriores do Windows criptografam os hashes NT usando duas camadas de criptografia DES + RC4.

Para obter mais informações sobre credenciais complementares, consulte MS-SAMR: supplementalCredentials e estruturas de credenciais complementares.

Senhas armazenadas no SAM local

Em membros do domínio e estações de trabalho, os hashes de senha da conta de usuário local são armazenados em um banco de dados local SAM (Gerenciador de contas de segurança) localizado no registro. Eles são criptografados usando os mesmos algoritmos de criptografia e de hash como Active Directory. As senhas no atributo supplementalCredentials para contas de usuário local também são armazenadas no banco de dados SAM local desde Windows Server 2016.

Credenciais armazenadas em cache

o Windows também armazena um verificador de senha em membros do domínio quando um usuário de domínio faz logon nesse membro do domínio. Esse verificador pode ser usado para autenticar um usuário de domínio se o computador não puder acessar o controlador de domínio. O verificador de senha também é normalmente chamado de credencial armazenada em cache. Ele é calculado por meio do hash NT, concatenando o nome de usuário para ele e, em seguida, aplicando o hash do resultado usando a função de hash MD4.

Como as senhas funcionam no Windows

no Windows e em muitos outros sistemas operacionais, um método para autenticar a identidade de um usuário é usar uma senha secreta.

é recomendável usar a autenticação multifator segura, como cartão inteligente, FIDO e Windows Hello para negócios. No entanto, a autenticação de senha ainda é necessária em alguns cenários.

Proteger seu ambiente de rede requer que senhas fortes sejam usadas por todos os usuários. Isso ajuda a evitar a ameaça de um usuário mal-intencionado adivinhar uma senha fraca, seja por meio de métodos manuais ou usando ferramentas, para adquirir as credenciais de uma conta de usuário comprometida. Isso é especialmente verdadeiro para contas administrativas. Quando você altera uma senha complexa regularmente, ela reduz a probabilidade de um ataque de senha bem-sucedido.

As configurações de política de senha controlam a complexidade e o tempo de vida das senhas. as políticas de senha afetam Windows senhas, não necessariamente as senhas de recurso.

A capacidade dos usuários de modificar suas senhas é regida pelas políticas de senha e pelas interfaces disponíveis. Por exemplo, por meio da área de trabalho segura, os usuários podem alterar sua senha a qualquer momento com base nas políticas de senha administradas pelo administrador do sistema ou pelo administrador de domínio. recursos como Windows Vault, BitLocker e sistema de arquivos com criptografia permitem que os usuários modifiquem senhas específicas para esse recurso.

Como as senhas são usadas no Windows

Quando um usuário faz logon, a senha que o usuário digita é convertida em ambos os tipos de funções unidirecionais e mantida na memória pelo processo de serviço LSASS (LSASs). Se o usuário estiver usando uma conta local para autenticação, o NT OWF será comparado com o hash NT armazenado localmente e, se os dois corresponderem, o usuário será conectado. Se o usuário estiver se Autenticando em um domínio Active Directory usando um nome de host para acessar um recurso, o hash de NT será usado em um logon Kerberos em relação ao centro de distribuição de chaves (KDC), que normalmente é o controlador de domínio.

O Kerberos não pode ser usado nas seguintes situações:

  • autenticando em um domínio que executa apenas Windows NT 4,0 ou anterior
  • Acessando um recurso em um membro do domínio Active Directory usando um endereço IP em vez de um nome de host
  • Acessando um recurso em um computador que não é membro de um domínio Active Directory
  • Acessando um recurso em um computador que é membro de um domínio Active Directory, mas não é confiável para seu domínio
  • Acessando qualquer recurso em um computador que executa o que não oferece suporte a Kerberos

Nessas situações, o processo de autenticação usa dois protocolos diferentes, chamados de LAN Manager e NTLM. O processo começa com o cliente que está solicitando um desafio do servidor de autenticação. Após o desafio ser recebido, o cliente computa uma resposta a esse desafio. Isso é feito primeiro preenchendo os dois hashes da senha com valores nulos para 168 bits. Os 168 bits de cada hash são divididos em chaves DES de 3 56 bits. As seis chaves DES são usadas para criptografar o desafio. Os três textos de codificação produzidos usando o hash LM são concatenados e se tornam a resposta do LAN Manager. Os três textos de codificação produzidos usando o hash NT são concatenados e se tornam a resposta NTLM.

As funções usadas para calcular a resposta podem ser modificadas pela configuração nível de compatibilidade lm na configuração Segurança de rede: nível de autenticação do LAN Manager Política de Grupo configuração. Se esse valor for definido como 1 ou inferior, o cliente enviará as respostas originais do Lan Manager e do NTLM. Se estiver definido como 2, somente a resposta NTLM será enviada. Se estiver definido como 3 ou superior, uma nova versão de ambos os protocolos será usada. A versão NTLM é chamada NTLMv2. A versão do LAN Manager geralmente é conhecida como LMv2. Ambos os protocolos usam o hash NT para calcular a resposta e ambos usam um desafio do lado do cliente, em vez de ou além do desafio do servidor. Além disso, se a configuração nível de compatibilidade do LM estiver definida como 1 ou superior, a resposta NTLM será marcada com carimbo de data/hora para ajudar a evitar ataques de reprodução. Para obter informações sobre a configuração nível de compatibilidade do LM , consulte Segurança de rede: nível de autenticação do LAN Manager.

Senhas fortes

As senhas fornecem a primeira linha de defesa contra o acesso não autorizado à sua organização. A partir do Windows Server 2003, o Windows verifica a complexidade da senha da conta de Administrador durante a instalação do sistema operacional. Se a senha estiver em branco ou não atender aos requisitos de complexidade, a caixa de diálogo Windows Instalação solicitará que você crie uma senha forte para a conta de Administrador. Se você deixar essa senha em branco, não poderá acessar essa conta pela rede.

As senhas fracas fornecem aos invasores acesso fácil aos computadores e à rede, enquanto senhas fortes são consideravelmente mais difíceis de descobrir. A tabela a seguir compara senhas fracas e fortes.

Senha fracaSenha forte
Em branco Tem pelo menos sete caracteres
Contém informações facilmente descobertas ou conhecidas, como nome de usuário ou nome de domínio Contém "segredo" ou informações aleatórias
É semelhante às senhas anteriores É significativamente diferente das senhas anteriores
Contém uma palavra de dicionário completa Contém uma combinação dos seguintes caracteres:

- Letras maiúsculas

- Letras minúsculas

- Numerais

– Símbolos, incluindo espaços

Um exemplo de uma senha forte é J*p2leO4F>.

Uma senha pode atender à maioria dos critérios de uma senha forte, mas ainda ser um pouco fraca. Por exemplo, Hello2U! é uma senha relativamente fraca, embora atenda à maioria dos critérios para uma senha forte e também atenda aos requisitos de complexidade da política de senha. H!elZl2o é uma senha forte porque a palavra do dicionário é intercalada com símbolos, números e outras letras. É importante instruir os usuários sobre os benefícios de usar senhas fortes e ensinar a eles como criar senhas realmente fortes.

Você pode criar senhas que contêm caracteres do conjunto de caracteres ANSI estendido. O uso de caracteres ANSI estendidos aumenta o número de caracteres que você pode escolher ao criar uma senha. Como resultado, pode levar mais tempo para o software de quebra de senha quebrar senhas que contêm esses caracteres ANSI estendidos do que para quebrar outras senhas. Antes de usar caracteres ANSI estendidos em sua senha, teste-os completamente para garantir que as senhas que contêm caracteres ANSI estendidos sejam compatíveis com os aplicativos que sua organização usa. Seja especialmente cuidadoso com o uso de caracteres ANSI estendidos em senhas se sua organização usar vários sistemas operacionais diferentes. Por exemplo, esses sistemas podem padronizar em ISO-8859-15. A implementação de protocolo real no Windows geralmente usa UNICODE ou UTF8 em vez da codificação ANSI real.

Exemplos de senhas que contêm caracteres do conjunto de caracteres ANSI estendido são kUμ!#0o e Wf©$0k#»g"?5ªrd.

Frases-senhas em Windows

Uma frase secreta é uma forma diferente de senha baseada em token na qual os tokens são palavras em vez de símbolos de um conjunto de caracteres. Um exemplo de uma frase-senha é uma frase que contém caracteres especiais, numerais, letras maiúsculas e letras minúsculas. As principais diferenças entre senhas e senhas são:

  • Uma frase-senha geralmente tem espaços; as senhas não.
  • Uma frase-senha é muito maior do que a grande maioria das palavras e, mais importante, maior do que qualquer cadeia de caracteres aleatória de letras que uma pessoa comum possa lembrar.

Frases secreta que estão em conformidade com o limite de caracteres, conforme definido na política, geralmente são mais difíceis de quebrar do que senhas porque contêm mais caracteres. É o hash LM e NT que armazena a senha ou a frase secreta, e o hash LM é o mais fraco dos dois.

Há várias maneiras de garantir que o hash lm não seja armazenado; uma delas é usar senhas ou frases secreta com mais de 14 caracteres. Você também pode usar a configuração Segurança de rede: Não armazenar o valor de hash do LAN Manager na próxima configuração de alteração Política de Grupo senha. O uso dessa configuração de política desliga globalmente os hashes lm de armazenamento para todas as contas. A alteração terá efeito na próxima vez que a senha for alterada. Como o efeito da política não é imediato, você não observará imediatamente quaisquer possíveis problemas de interoperabilidade causados pelo não armazenamento de hashes LM.

Políticas de senha locais disponíveis no Windows

Você pode implementar uma configuração de política de senha que impõe requisitos de complexidade de senha. Para obter mais informações sobre essa configuração de política, consulte Senha deve atender aos requisitos de complexidade. Para obter informações sobre como aplicar uma política de senha, consulte Aplicar ou modificar uma política de senha. Para obter informações sobre todas as configurações de política de senha disponíveis, consulte Política de senha.

Política de senha fine-grained disponível por meio Active Directory Domain Services (AD DS)

A partir do Windows Server 2008, você pode usar políticas de senha finas para especificar várias políticas de senha e aplicar diferentes restrições de senha e políticas de bloqueio de conta a diferentes conjuntos de usuários em um único domínio. Por exemplo, para aumentar a segurança de contas privilegiadas, você pode aplicar configurações mais estritas às contas com privilégios e aplicar configurações menos estritas às contas de outros usuários. Ou, em alguns casos, talvez você queira aplicar uma política de senha especial para contas cujas senhas são sincronizadas com outras fontes de dados.

Para armazenar políticas de senha finas, existem duas novas classes de objeto no esquema AD DS:

  • Contêiner de Configurações senha
  • Configurações de Senha

Para obter mais informações sobre essas políticas, consulte AD DS: políticas Fine-Grained senha.

Qual o método tenta todas as senhas possíveis até que uma correspondência seja encontrada?

2 / 2 ptsPergunta 11 Qual método tenta todas as senhas possíveis até que uma correspondência seja encontrada? força brutaCorreto! Correto! https://81783902.netacad.com/courses/695545/quizzes/6180615 8 of 16 Refer to curriculum topic: 5.1.1 Dois métodos comuns para decifrar hashes são o dicionário e a força bruta.

Quais são os elementos principais necessários para implementar o Hmac?

Quais são os elementos principais necessários para implementar o HMAC? chave secreta e message digest Correto! Correto! message digest e chave assimétrica chave simétrica e chave assimétrica IPSec e soma de verificação Refer to curriculum topic: 5.1.3 A implementação de HMAC é uma chave secreta adicionada a um hash.

Quais são as três melhores práticas na implementação de Salting?

Quais são as três melhores práticas na implementação de salting? (Escolha três.) Um salt deve ser exclusivo. Resposta corretaResposta correta Salts não são uma prática recomendada eficiente. Um salt deve ser exclusivo para cada senha.

Qual requisito de integridade O usuário está implementando?

Qual requisito de integridade o usuário está implementando? integridade referencial integridade do domínio integridade da anomalia integridade da entidade Correto! Correto!

poderia implementado impedir hashes senhas sejam iguais

Postagens relacionadas

Como você poderia explicar o fenômeno de emissão de luz que ocorre nos fogos de artifício de acordo com o modelo de Bohr?
Como você poderia explicar o fenômeno de emissão de luz que ocorre nos fogos de artifício de acordo com o modelo de Bohr?

Como poderia se desenvolver práticas educativas que contribuam para o desenvolvimento das aprendizagens?
Como poderia se desenvolver práticas educativas que contribuam para o desenvolvimento das aprendizagens?

Qual organela poderia ser utilizada para inserção de transgenes em leveduras?
Qual organela poderia ser utilizada para inserção de transgenes em leveduras?

Uma pessoa afirmou que poderia viver de luz como as plantas explique porque essa pessoa está errada
Uma pessoa afirmou que poderia viver de luz como as plantas explique porque essa pessoa está errada

Publicidade

ÚLTIMAS NOTÍCIAS

Qual a relação do petróleo com o efeito estufa?
1 anos atrás . por EmergingRecipe
Qual o tipo de microscópio mais indicado na rotina microbiológica?
1 anos atrás . por SplinteredAccomplice
Qual é o papel de um educador?
1 anos atrás . por RaucousPlaza
Por que os fungos são tão importantes para a indústria de alimentos?
1 anos atrás . por SlattedOunce
Quando foi lançado o iphone 6
1 anos atrás . por MonumentalBounds
É possível fazer transferência de dinheiro de um banco para outro?
1 anos atrás . por ProstrateElements
Um acionista ao analisar uma empresa pode estar preocupado em verificar
1 anos atrás . por SystematicTrout
Sao paulo e rentistas onde assistir
1 anos atrás . por ApatheticBodyguard
Quais os aspectos que caracterizam o clima organizacional escolar?
1 anos atrás . por CapitalisticDismissal
Em que o caso Cambridge Analytica importa para jurisdição Digital?
1 anos atrás . por ContemporaryAccountability

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

direito autoral © 2024 temalgum Inc.