NTLMv2抗强暴性

Question

我有一个关于NTLMv2抵抗密码强暴的问题。

我知道一些现代的图形处理器(如Radeon 6990)能够计算每秒数十亿散列，并在几分钟和几小时内破解NTLM散列。

我想评估与NTLM相比，NTLMv2散列如何更好地抵抗密码强暴。

鉴于此，大致如下：

NTLM散列=MD4(密码)

和

NTLMv2散列=MD5(MD5(MD4(密码)+ X) + Y)

用密码强制攻击NTLMv2哈希比攻击NTLM哈希要长3倍，这是正确的吗？

Answer 1

实际上，它接近4或5倍，因为MD5比MD4贵一些。不过，这不会让它变得强大；从NTLM切换到NTLMv2的“好处”会被取消，等待一年后再购买一个更大的GPU。

由于向后兼容性，Windows系统坚持使用NTLM变体，但它们是相当差的密码散列方法。关于密码应该如何被散列，请参见这个答案。

Answer 2

是的，这是一个很好的近似。两者之间的差别不大；在这两种情况下，如果用户的密码哈希被破坏，攻击者很可能能够恢复他们的许多密码。

今天，哈希密码的公认方法是使用一个缓慢的散列(例如，一个加密散列函数的数千次迭代)，以减缓强制执行的速度。NTLM和NTLMv2都不包含这种防御，因此它们都容易受到密码强暴的攻击(NTLM稍微好些，但差别不大)。

Answer 3

请注意，您假设攻击者有原始散列( Unicode密码的MD4)。这不考虑在实际身份验证中使用的挑战，并且不能通过嗅探认证的网络流量来获得原始散列。这些“哈希”是使用原始哈希、挑战和有关客户端和服务器的“目标信息”计算的。根据网络通信的NTLMv2散列破解某人的密码要比您在这里描述的要困难得多。您所描述的折衷方案需要首先进入域控制器并恢复密钥存储库。请注意，这几乎没有说明使用NTLMv2的安全性，因为即使不使用NTLMv2的DC也会在其密钥库中使用NTLMv2哈希。