Sicurezza delle password di Windows: l’hash LM

Ci sono fondamentalmente tre modi per archiviare una password di accesso al sistema:

– salvarla in chiaro
– salvarne una versione cifrata
– salvarne una rappresentazione resa irriconoscibile con un hash

La prima opzione si scarta da sè vista la scarsa sicurezza offerta…
La seconda impedisce al potenziale intruso di vedere in chiaro la password, ma una volta conosciuto l’algoritmo di cifratura permette di decodificarla facilmente.
La terza possibilità prevede l’archiviazione di una versione della password trasformata secondo un hash, ovvero una funzione matematica (irreversibile) che la trasforma in una stringa di caratteri.
Al logon il sistema calcola l’hash della password inserita, lo confronta con quello memorizzato e concede l’accesso se sono uguali.

A partire da Nt 4.0 e nelle versioni di Windows successive, ovvero Windows 2000, Windows XP e Windows Server 2003 le password di accesso al sistema vengono archiviate con due tipi diversi hash: LAN Manager (LM) e l’hash NTLM.

L’algoritmo dell’hash LM esegue una serie di operazioni sull password prima di archiviarla:
-Converte tutti i caratteri minuscoli della password in maiuscoli.
-Allunga la password con caratteri NULL finché non viene raggiunta la lunghezza di 14 caratteri.
-Divide la password in due blocchi da 7 caratteri.
-Utilizza ogni blocco separatamente come chiave DES per crittografare stringhe specifiche.
-Concatena i testi a due cifre in una stringa a 128 bit e archivia il risultato.

Il risultato è memorizzato nel file %systemroot%\system32\config\SAM ed è ulteriormente protetto da Syskey che lo cifra con una chiave a 128 bit.
E però non basta proprio per nulla.. l’hash LM infatti è facilmente estraibile dal sistema (tramite una distribuzione live di Linux o un dischetto di boot) e crackabile tramite bruteforce, con programmi come LC5 (l’ultima versione di L0phtCrack) Saminside, Cain e altri.

E’ consigliabile quindi usare solo l’hash NTLM come spiegato chiaramente qui: http://support.microsoft.com/kb/299656

Ma tornando al metodo per crackare le password LM, un sistema molto interessante, veloce, e semplice è usare le Rainbow Tables (leggetevi il documento qui presente, spiega in maniera esaustiva cosa sono).

Ecco un bel video che illustra come fare:

Annunci

3 Risposte to “Sicurezza delle password di Windows: l’hash LM”

  1. Salve,
    volevo aggiungere una considerazione tecnica sul tuo articolo.
    Utilizzare LM hash per archiviare le password è sicuramente sconsigliato per i motivi che hai giustamente esposto. Quindi è opportuno disabilitare questa funzione che Windows applica automaticamente.
    In ogni caso, però, attraverso le Rainbow Tables è possibile forzare anche NT hash.
    Il problema principale di Windows è il fatto che non vengono utilizzate le “salt password”, come è spiegato nel documento che hai linkato (“Rainbow Tables”, di Marco Frison).
    Le “salt password” potrebbero essere lo spunto per un altro post…
    Ciao.

  2. Salve,
    volevo precisare un punto riguardo al mio commento precedente.
    Quando parli della distrubizione live di Linux per estrarre LM hash , ti riferisci , ovviamente a Ophcrack, di cui ti sei occupato anche in un post recente.
    Quando si scarica questo software si ottengono delle “rainbow tables” che valgono effettivamente solo per hash LM.
    Quindi se si disabilita il sistema di archiviazione LM in Windows, con questo strumento non possiamo fare niente per trovare la password.
    Il punto è che per avere la tabella per hash NT integrata in Ophcrack, “basta” comprare il set di tabelle completo per una cifra intorno ai 500$, quindi…
    Ciao, di nuovo.

  3. Vincenzo, grazie per l’interesse, innanzitutto.
    Ho ripreso l’argomento in un post recente, Password cracking: le rainbow tables e conto di ampliarlo ancora parlando anche del “salting”, come giustamente suggerisci.
    Grazie ancora, ciao!

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: