Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
22
CzęśćI:PodstawyzabezpieczeńWindows
LM.Zauważmyrównież,żezarównosystemWindowsVista,jakiWindowsServer2008,
mogąbyćskonfigurowanedoprzechowywanialubuwierzytelnianiazapomocąhashaLM.
Niejesttojednakzalecane,ponieważwtensposóbosłabianesąalgorytmyzabezpieczeń.
SkróthashLMtworzonyjestzapomocąwieludośćskomplikowanychkroków,pokaza-
nychnarysunku2-2.Procesrozpoczynasię,gdyużytkowniktworzynowehasło.Zostaje
ononiezwłocznieprzekształconenasamewielkielitery
.Innymisłowy
,hasłaprzechowy-
wanezapomocąhashaLMnieodróżniająmałychiwielkichliter.
Następniezostajeonodopełnionedo14znaków.Pierwotniedłuższehasłamogłyby
zostaćteoretycznieucięte,jednakwpraktyceproceskończysięniepowodzeniem.Dlahaseł
dłuższychniż14znakówniejestgenerowanyskrótLM.Dlategowstarszychsystemach
wyświetlanejestostrzeżenieoniekompatybilnościhasełdłuższychniż14znaków.
Wkolejnymkrokuhasłozostajepodzielonenadwieczęścipo7znaków.Dziejesię
tak,ponieważbędzieonostosowanejakokluczwszyfrowaniuDES(DataEncryption
Standard),awykorzystywanyprzezniealgorytmDEA(DataEncryptionAlgorithm)ope-
ruje56-bitowymiporcjamidanych.Sąonewykorzystywanejakokluczdozaszyfrowania
stałejwartości.
NakoniecrezultatydwóchoperacjiDESsąwiązaneiprzechowywanejakohashLM.
HashjestprzechowywanywbaziedanychSecurityAccountsManager(jeślihasłodoty-
czykontalokalnegonapojedynczymkomputerzelubczłonkudomeny)lubwatrybucie
DBCS-PwdobiektuużytkownikawActiveDirectory
.
Wyjaśniato,czemuosobaatakującapozapoznaniusięzeskrótemhashjestwstaniewy-
dedukowaćdługośćhasła.JeślidrugapołowahashLMwyglądatak:AAD3B435B51404EE,
oznaczato,żedrugapołowahasłajestpusta,ahasłomanajwyżej7znaków.Jeśliobie
połowymajawartośćAAD3B435B51404EE,hasłojestpuste.
Sprawdzonewpraktyce:HistoriahashaLM
SkróthashLMzostałporazpierwszyużytyprzezfirmęMicrosoftwsieciowymsys-
temieoperacyjnymLANManager,któregoostatniawersjazostałaopublikowanawe
wczesnychlatachdziewięćdziesiątych.LANManageruruchamianybyłwsystemie
operacyjnymOS/2firmyIBM.WsystemieWindowsNTz1993rokuwymaganabyła
współpracazLANManager,abyprogrampozostałużytecznydlaorganizacji,które
wniegozainwestowały
.ZtegopowodupomimoposiadaniaprzezsystemWindows
NTwieledoskonalszejniżLANManagerstrukturyzabezpieczeń,musiałonzostać
dostosowanydorozwiązaństosowanychwewcześniejszychlatach.W2006roku
firmaMicrosoftwprowadziłapierwszysystemoperacyjny
,domyślniewyłączający
mechanizmkodowaniahashyhasełużywanyprzezLANManager,choćnadalmógł
byćonuaktywniony
.Zastąpienietejfunkcjizajęłotrzynaścielat.
JesperM.Johansson,WindowsSecurityMVP
