【Windows 密码破解比较】LM、NTLM、DCC 和Windows Hello PIN
The following article is from 取证者联盟 Author 取证者联盟
目前常见版本的 Windows 有许多不同类型的帐户。本地 Windows 帐户、Microsoft 帐户和域帐户,有着不同类型的安全保护机制。还有带有 PIN 码的 Windows Hello,它与其他情况都不同。这些类型的密码有多安全?如何破解它们?请继续阅读以找出答案!
经典密码
在攻击 Windows 帐户密码时,必须处理生成、保护和存储密码哈希的几种不同方式。
LM 哈希是自 Windows 原始版本发布以来使用的最古老的密码类型。微软很久以前就在 Windows Vista/Server 2008 中停止使用 LM 哈希,但可能仍会在较旧的系统中遇到。LM 哈希存储在本地注册表SAM数据库或域控制器上的 NTDS 数据库中。
NTLM 哈希是 LM 的替代品。Microsoft 仍然使用 NTLM 机制在现代版本的 Windows 中存储密码。这些密码也存储在 SAM 数据库或域控制器上的 NTDS 数据库中。令人惊讶的是,由于算法的实现方式,NTLM 哈希的破解速度甚至比 LM 更快。
NTLM 哈希保护本地 Windows 帐户以及 Windows 8 中引入的较新类型的帐户:Microsoft 帐户登录。Windows 缓存密码哈希并将其存储在本地计算机上。这允许用户在离线使用时登录到他们的计算机。另一方面,这也允许提取缓存的哈希文件并运行离线攻击来恢复原始密码。散列的 Microsoft 帐户密码与其余的 NTLM 散列一起存储在本地 SAM 数据库中。从技术上讲,本地缓存的 Microsoft 帐户密码受到与其他类型的缓存凭据相同的 NTLM 机制的保护,这使得它们与本地 Windows 密码一样容易和快速地受到攻击。
NTLM 哈希加密强度并不好。Microsoft 使用加密盐(salt)来保护 LM 和 NTLM 密码哈希。但是,相同的盐用于保护所有 LM 和所有 NTLM 密码,这允许同时攻击特定计算机上存在的所有用户帐户。这仅在 Windows Hello PIN 中发生了变化。
Windows 还具有 DCC,它代表域缓存凭据。这些是本地存储的缓存密码哈希,用于登录域。与所有其他类型的凭据相比,域缓存凭据的保护方式不同,并且与 LM 和 NTLM 密码相比,具有明显更强的保护功能。
微软帐户密码
在 Windows 8 中,Microsoft 引入了不同的身份验证系统 Windows Hello。鼓励 Windows 8、10 和 Windows 11 的用户设置 PIN 并使用它来代替他们的帐户密码。Microsoft 声称 PIN 比传统密码更安全,这通常仅在用户的计算机配备了已配置的 TPM 模块时才是正确的。如果没有 TPM,PIN 将成为另一个密码——如果用户遵循 Microsoft 的默认设置并设置 4 位或 6 位 PIN,则该密码非常弱。但是,如果用户配置了一个字母数字 PIN(基本上是密码的另一个名称),情况就会改变。
Windows Hello PIN 码
与 NTLM 攻击相比,攻击Windows Hello PIN 码的速度要慢得多。根据下表,与对 NTLM 哈希的攻击相比,使用Elcomsoft Distributed Password Recovery对字母数字 Windows Hello PIN 的攻击可能要慢 50,000 到 150,000 倍。此外,Windows Hello PIN 是单独加盐的,这意味着所有受 PIN 保护的帐户都必须依次受到攻击。
这些数字是什么意思?
每秒 230 亿个密码(对于 NTLM 哈希)的暴力破解速度到底意味着什么?让我们在这两种情况下采用由一组随机数字和拉丁字母组成的 8 字符密码(95^8 种可能的组合)。以每秒 320 亿个密码的速度,您将需要大约 80 小时来破解该密码。恢复 7 位字母数字密码只需不到一个小时,而较短或不太复杂的密码可以在可忽略不计的时间内破解。然而,一个 9 个字符的密码需要将近一年的时间才能破解;因此,破解 9 个字符的字母数字密码将需要使用高质量的字典和智能攻击。
那么每秒有 16.5 万个密码的 PIN 码呢?以这种速度,您需要大约 1300 年才能破解常见的 8 位密码,或者大约 13 年才能破解 7 位密码,或者大约 50 天才能破解 6 位字母数字密码。这意味着您已经需要字典和智能攻击来破解相对较短的 6 个字符的密码。
结论
通过比较Windows 中不同类型的缓存帐户凭据,我们发现Windows Hello PIN 是最安全的,但前提是用户配置了长字母数字 PIN。如果没有 TPM,全数字 PIN 码是不安全的,并且可以在几分钟内被破解。
来源:取证者联盟