目前常见版本的 Windows 有许多不同类型的帐户。本地 Windows 帐户、Microsoft 帐户和域帐户,有着不同类型的安全保护机制。还有带有 PIN 码的 Windows Hello,它与其他情况都不同。这些类型的密码有多安全?如何破解它们?请继续阅读以找出答案!
经典密码
在攻击 Windows 帐户密码时,必须处理生成、保护和存储密码哈希的几种不同方式。
LM 哈希是自 Windows 原始版本发布以来使用的最古老的密码类型。微软很久以前就在 Windows Vista/Server 2008 中停止使用 LM 哈希,但可能仍会在较旧的系统中遇到。LM 哈希存储在本地注册表SAM数据库或域控制器上的 NTDS 数据库中。
NTLM 哈希是 LM 的替代品。Microsoft 仍然使用 NTLM 机制在现代版本的 Windows 中存储密码。这些密码也存储在 SAM 数据库或域控制器上的 NTDS 数据库中。令人惊讶的是,由于算法的实现方式,NTLM 哈希的破解速度甚至比 LM 更快。
NTLM 哈希保护本地 Windows 帐户以及 Windows 8 中引入的较新类型的帐户:Microsoft 帐户登录。Windows 缓存密码哈希并将其存储在本地计算机上。这允许用户在离线使用时登录到他们的计算机。另一方面,这也允许提取缓存的哈希文件并运行离线攻击来恢复原始密码。散列的 Microsoft 帐户密码与其余的 NTLM 散列一起存储在本地 SAM 数据库中。从技术上讲,本地缓存的 Microsoft 帐户密码受到与其他类型的缓存凭据相同的 NTLM 机制的保护,这使得它们与本地 Windows 密码一样容易和快速地受到攻击。
NTLM 哈希加密强度并不好。Microsoft 使用加密盐(salt)来保护 LM 和 NTLM 密码哈希。但是,相同的盐用于保护所有 LM 和所有 NTLM 密码,这允许同时攻击特定计算机上存在的所有用户帐户。这仅在 Windows Hello PIN 中发生了变化。
Windows 还具有 DCC,它代表域缓存凭据。这些是本地存储的缓存密码哈希,用于登录域。与所有其他类型的凭据相比,域缓存凭据的保护方式不同,并且与 LM 和 NTLM 密码相比,具有明显更强的保护功能。
微软帐户密码
在 Windows 8 中,Microsoft 引入了不同的身份验证系统 Windows Hello。鼓励 Windows 8、10 和 Windows 11 的用户设置 PIN 并使用它来代替他们的帐户密码。Microsoft 声称 PIN 比传统密码更安全,这通常仅在用户的计算机配备了已配置的 TPM 模块时才是正确的。如果没有 TPM,PIN 将成为另一个密码——如果用户遵循 Microsoft 的默认设置并设置 4 位或 6 位 PIN,则该密码非常弱。但是,如果用户配置了一个字母数字 PIN(基本上是密码的另一个名称),情况就会改变。
Windows Hello PIN 码
与 NTLM 攻击相比,攻击Windows Hello PIN 码的速度要慢得多。根据下表,与对 NTLM 哈希的攻击相比,使用Elcomsoft Distributed Password Recovery对字母数字 Windows Hello PIN 的攻击可能要慢 50,000 到 150,000 倍。此外,Windows Hello PIN 是单独加盐的,这意味着所有受 PIN 保护的帐户都必须依次受到攻击。
这些数字是什么意思?
每秒 230 亿个密码(对于 NTLM 哈希)的暴力破解速度到底意味着什么?让我们在这两种情况下采用由一组随机数字和拉丁字母组成的 8 字符密码(95^8 种可能的组合)。以每秒 320 亿个密码的速度,您将需要大约 80 小时来破解该密码。恢复 7 位字母数字密码只需不到一个小时,而较短或不太复杂的密码可以在可忽略不计的时间内破解。然而,一个 9 个字符的密码需要将近一年的时间才能破解;因此,破解 9 个字符的字母数字密码将需要使用高质量的字典和智能攻击。
那么每秒有 16.5 万个密码的 PIN 码呢?以这种速度,您需要大约 1300 年才能破解常见的 8 位密码,或者大约 13 年才能破解 7 位密码,或者大约 50 天才能破解 6 位字母数字密码。这意味着您已经需要字典和智能攻击来破解相对较短的 6 个字符的密码。
结论
通过比较Windows 中不同类型的缓存帐户凭据,我们发现Windows Hello PIN 是最安全的,但前提是用户配置了长字母数字 PIN。如果没有 TPM,全数字 PIN 码是不安全的,并且可以在几分钟内被破解。
来源:取证者联盟
如有侵权请联系:admin#unsafe.sh