本文由小茆同学、杨非凡编译,陈裕铭、Roe校对,转载请注明。
当前版本的Windows有许多不同类型的账户。本地Windows账户、微软账户和域账户具有不同的保护策略,还有带PIN码的WindowsHello(一款生物特征授权功能)的独特保护方式。这些类型的密码有多安全,如何破解?让我们一起来了解一下吧。
经典密码
在攻击Windows账户密码时,人们必须处理几种不同的密码哈希值的生成、保护和存储方式。
LM哈希值是自Windows原始版本发布以来使用的最古老的密码类型。微软在WindowsVista/Server中已经停止使用LM哈希值,但仍然可能在旧系统中仍然会遇到这种情况。LM哈希值存储在本地的SAM数据库中,或域控制器(DC,安装了活动目录的计算机)上的NTDS数据库中。
NTLM哈希值是LM的替代品。在当前版本的Windows中,微软仍然使用NTLM机制来存储密码。这些密码也被存储在SAM数据库中,或域控制器上的NTDS数据库中。得益于算法的实现方式,NTLM哈希值的破解速度比LM还要快。
NTLM哈希值保护本地Windows账户以及Windows8中引入的较新类型的账户:微软账户登录。Windows缓存了密码哈希值,并将其存储在计算机本地。这允许用户在脱机使用时登录他们的计算机。另一方面,提取被缓存的哈希文件也被允许,并可用离线攻击来恢复原始密码。微软账户密码的哈希值与其他NTLM哈希文件一起被储存在本地的SAM数据库中。从技术上讲,本地缓存的微软账户密码与其他类型的缓存凭证一样受到NTLM机制的保护,这使得它们与本地Windows密码一样容易受到攻击,且破解速度很快。
加盐算法并没有很好用于NTLM哈希值。微软用加盐的方式保护LM和NTLM密码哈希值。然而,同样的盐被用来保护所有的LM和NTLM密码,这就允许同时攻击某台电脑上的所有用户账户。这只在WindowsHelloPIN中有所改变。
Windows也有DCC,它代表了域缓存凭证(DomainCachedCredentials)。这些是本地存储的、缓存的密码哈希值,用于登录到域中。与所有其他类型的凭证相比,域缓存凭证的保护方式不同,并且与LM和NTLM密码相比,其特点是保护力度明显更强。
微软账户密码
在Windows8中,微软引入了一个不同的认证系统——WindowsHello。鼓励Windows8、10和11的用户设置一个PIN码并使用它来代替他们的账户密码。
微软声称,PIN码比传统密码更安全,一般来说,只有在用户的电脑搭载了配置好的TPM模块(TrustedPlatformModule,可信平台模块,可以用于提高电脑的安全性)的情况下才是如此。如果没有TPM,PIN就变成了另一个密码,如果用户按照微软的默认设置,设置一个4位数或6位数的PIN,那么这个密码就非常弱。但是,如果用户配置了一个字母数字PIN(基本上是密码的另一个名称),情况就会改变。
WindowsHelloPIN码
与攻击NTLM相比,攻击WindowsHelloPIN码的速度明显较慢。根据下表,与攻击NTLM哈希值相比,用El