Salve a tutti,
mi permetto di aggiungere qualcosa e qualche termine mirato per una ricerca sulla rete (valido fino a WinVista escluso ... almeno credo!), con una doverosa premessa: quanto segue è frutto di mie passate ricerche; non ho fatto copia & incolla, ma ho estrapolato dai miei appunti ...
1) LM hash o LAN Manager hash
formato impiegato da Windows per immagazzinare le password inferiori a 15 caratteri; qui vale il discorso che la password viene "divisa in due", tutto "trasformato in maiuscolo" e "troncato/adattato" alla lunghezza massima consentita per la password; ogni troncone in cui è divisa la password è "attaccabile" singolarmente; si appoggia sull'algoritmo di criptazione chiamato DES; questo modo di gestire le password "locali" (non di dominio) fino a WinXP è stato conservato per una questione di compatibilità con le precedenti versioni dei SS.OO. di casa Microsoft (credo che con Vista le cose siano radicalmente cambiate ... temo!!!); in realtà da un certo punto in poi (con WinNT 3.1) è stato introdotto un algoritmo più sicuro (NTLM); la memorizzazione del valore sotto forma di LM hash può essere disattivata smanettando tra le opzioni richiamabili con il comando gpedit.msc da "Esegui"
2) NTLM = NT LAN Manager
metodo più sicuro per conservare le password locali; vale senz'altro quanto già detto da Dararag (non spezza più la password in due parti, non trasforma più tutto in maiuscolo); si appoggia sull'algoritmo di criptazione MD4
3) il file SAM, come giustamente detto da Clic, è una specie di database che conserva gli hash (le impronte) delle varie password, codificate secondo gli algoritmi sopra indicati; secondo alcuni (credo sia giusto) il file SAM, insieme ad altri, costituisce il registo di Windows (nel senso che il registro di Windows non è un file ben preciso, ma un insieme di informazioni, fornite da più file messi a sistema); il file SAM può essere cercato in queste posizioni:
a) %directorydisistema%\system32\config
b) %directorydisistema%\repair
c) HKEY_LOCAL_MACHINE\SAM (in questo caso, la chiave potrebbe risultare non visibile, ombreggiata o comunque bloccata ... bisogna agire sulle autorizzazioni e sulla protezione della chiave stessa)
4) Syskey
aggiornamento introdotto da Microsoft che cripta "ulteriormente" i dati contenuti nel file SAM (molte informazioni in proposito si trovano nella guida di Windows)
5) LSA
Local Security Authority (componente del S.O. che opera l'autenticazione dell'utente)
6) "rainbow table" & "time memory trade off" (tecnica relativamente recente per scoprire le password)
... una chicca (ho sofferto le pene dell'inferno per trovare l'informazione che segue): tutto quanto sopra vale (per quanto io possa saperne) per gli utenti "locali" ... le cose cambiano per le password di dominio.
Una prima considerazione.
Mi loggo in un dominio con l'elaboratore A, vengo identificato e faccio il mio lavoro. Disconnetto il pc (stacco materialmente il cavo di rete). Riavvio il computer e mi loggo come utente di dominio e ... vengo identificato!!! ... in sostanza: entro nel pc come se il server di dominio mi avesse riconosciuto e consentito di accedere all'elaboratore (sempre in locale, in quanto il cavo di rete era staccato).
Vado in un'altra postazione, cambio la mia password di utente di dominio e faccio il mio lavoro.
Torno all'elaboratore A, sempre con il cavo staccato, mi loggo con la nuova password e non entro. Mi loggo con la vecchia passord ed ho accesso. Spengo la macchina e riattacco il cavo di rete. Riavvio tutto, mi loggo con la vecchia password: accesso negato. Provo con la nuova password ed entro. Faccio quello che devo e spengo il pc.
Stacco il cavo di rete. Accendo e mi loggo con la nuova password (cavo di rete staccato): entro nell'elaboratore come utente di dominio.
Morale della favola, ho pensato: l'elaboratore deve salvarsi in locale l'impronta della mia password ...
Soluzione: HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1
HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$2
... fino a 10
In realtà questa chiave di registro non è così in bella mostra, ma bisogna agire sulle autorizzazioni e protezioni della chiave stessa ... inoltre è possibile disabilitare la memorizzazione delle password di dominio.
Ultima cosa: gli hash di queste password sono codificati in formato MSCASH (sono pochi i programmi che masticano questo formato).
Magari varrebbe la pena farci un articolo ... penso che avendo mantenuto a questo livello la discussione, non si sia contravvenuto né alla Legge né al Regolamento del MegaForum. Almeno lo spero!!!
Matilda12