Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Namiesto toho Windows používa komplexný systém zahŕňajúci hash a soli uložené v správcovi účtov (SAM) databáza. Táto databáza je * nie * obyčajný textový súbor a jeho údaje sú silne chránené. Zatiaľ čo niektoré informácie týkajúce sa používateľských účtov a bezpečnostných zásad sú uložené v registri, samotné hashy hesla nie sú priamo uložené v jednom, ľahko prístupnom registrovom kľúči.
Tu je zrútenie toho, prečo a ako to funguje:
* Hashes, nie heslá: Windows nikdy neukladá vaše skutočné heslo v použiteľnom formáte. Používa funkciu kryptografického hash (historicky LM a NTLM, teraz primárne NTLMV2 a Kerberos) na vytvorenie jednosmernej reprezentácie vášho hesla. Tento hash je uložený.
* soli: „Soľ“ je náhodný reťazec pridaný do hesla pred hashovaním. To sťažuje útočníkom oveľa ťažšie používanie „dúhových tabuliek“ (vopred vypočítané tabuľky hash s heslom) na prasknutie hesiel. Salty sa ukladajú spolu s hashmi.
* Databáza Security Account Manager (SAM): Databáza SAM (zvyčajne `C:\ Windows \ System32 \ config \ Sam`) je primárnym miestom na ukladanie informácií o používateľskom účte vrátane hashov a solí hesla. Toto nie je * súbor registra, ale používa ho bezpečnostný subsystém.
* Chránené úložisko: Prístup k databáze SAM je veľmi obmedzený. Na to, aby ste sa ich mohli prečítať, potrebujete „oprávnenia na úrovni systému“, a aj vtedy sú údaje šifrované a na dešifrovanie API vyžadujú konkrétne API.
* Úloha registra: Zatiaľ čo register nevykladá súbory hesla samotné, obsahuje nastavenia konfigurácie a politiky týkajúce sa zabezpečenia, autentifikácie a správy účtov. Napríklad v registri nájdete informácie o požiadavkách na zložitosť hesla alebo nastaveniach spoločnosti Kerberos. Tieto nastavenia nepriamo ovplyvňujú to, ako sa používajú heslá, ale nie sú to samotné heslá.
Prečo je to dôležité:
Priame ukladanie hesiel by bolo obrovskou zraniteľnosťou zabezpečenia. Mechanizmy hashovania a slaní v kombinácii s obmedzeným prístupom k databáze SAM sú navrhnuté tak, aby chránili poverenia používateľov pred neoprávneným prístupom.
v súhrne:
* Žiadne priame súbory hesla v registri.
* Heslo * hashes * a * soli * sa ukladajú do databázy Sam (nie súbor registra).
* Register obsahuje nastavenia konfigurácie týkajúce sa bezpečnostných zásad, ale nie samotné heslá.
Etické úvahy: Nepokúšajte sa získať alebo upravovať informácie o hesle používateľa bez explicitného povolenia. To môže mať vážne právne a etické následky.