Протоколы LAN Manager и NT

Компания IBM разработала протокол LAN Manager, применив его в ранних версиях Windows и сетях Windows. Как все протоколы аутентификации Microsoft, LAN Manager генерирует хеш паролей (LM hash), который хранится и используется отправителем и получателем в процессе аутентификации.

LM-хеши используются для совместимости с другим программным обеспечением корпорации Microsoft (Windows for Workgroups, Windows и Lan Manager) и хранятся в базе данных SAM в стандарте Lan Manager.

 

LAN Manager формирует LM-хеши следующим образом.

1.Все буквенные символы исходной строки пользовательского пароля приводятся к верхнему регистру.

2.Если пароль содержит меньше 14 символов, то он дополняется нулями.

3.Из каждой 7-байтовой половины преобразованного таким образом пароля пользователя отдельно формируется ключ для шифрования фиксированной 8-байтовой последовательности по DES-алгоритму.

4.Полученные в результате две 8-байтовые половины хешированного пароля Lan Manager еще раз шифруются по DES-алгоритму (при этом в качестве ключа используется RID пользователя) и помещаются в базу данных SAM.

Если раньше LAN Manager был вполне приемлем, то сейчас он считается очень ненадежным. С помощью специальных инструментов пароли, зашифрованные методом хеширования LAN Manager, можно всего за несколько секунд преобразовать в исходный текст.

LM-хешам свойственны принципиальные недостатки, а также имеется ряд уязвимых мест:

Ø для составления пароля можно использовать только 128 символов ASCII;

Ø длина пароля не должна превышать 14 символов;

Ø если пароль содержит менее 14 символов, то отсутствующие символы заменяются нулями, что позволяет точно определить длину пароля;

Ø перед хешированием LAN Manager преобразует все буквенные символы пароля в верхний регистр.

Почему LAN Manager до сих пор не вышел из употребления? В целях обратной совместимости он активен по умолчанию во всех компьютерах Windows, в том числе Windows Server 2003. В новейших базах данных аутентификации Windows слабый LM-хеш хранится наряду с более надежными, просто на случай, если придется выполнить транзакцию LAN Manager.

Если на предприятии не используются другие приложения, требующие аутентификации LAN Manager, то можно (и нужно) LAN Manager отключить.

NT-хеш формируется следующим образом.

1.Строка символов пользовательского пароля хешируется с помощью функции MD4. В итоге из символьного пароля, введенного пользователем, получается 16-байтовая последовательность — хешированный пароль Windows.

2.Данная последовательность затем шифруется по DES-алгоритму 5, и результат шифрования сохраняется в базе данных SAM. При этом в качестве ключа шифрования используется так называемый относительный идентификатор пользователя (Relative Identifier, RID), который представляет собой автоматически увеличивающийся порядковый номер учетной записи данного пользователя в базе данных SAM.