PTH和盐渍密码

Question

我看到很多文档将PtH归咎于Windows操作系统上的LM/NT散列的不受欢迎的特性。

这个猜想不对吗？引入盐析(如果盐分是确定性的/例如用户名+域+密码)只会最小化脱机密码破解的问题，而不能解决PtH问题。

我这么想对吗？为什么这些公司和人们说这个问题是由于散列的不加盐的性质而产生的？

Answer 1

不加盐是相当小的。这个问题变成了凭证重用--即在多个帐户上使用相同密码的人。当管理员在本地计算机管理员帐户上将相同的密码重用到其域帐户时，这将成为一个更大的问题。

传递哈希是所有挑战响应算法中常见的问题，这些算法需要在两端以相同形式可用的共享秘密(在本例中为散列)。双方都需要秘密来应对/核实挑战。Windows之所以选择这种方法，是因为它允许通过有线以明文形式进行通信。我知道有两种选择-

• 传统的密码认证。也就是说，密码被发送到服务器，并根据那里存储的散列进行验证。但是，在中间攻击中，您需要加密连接或风险人。
• 公钥/私钥验证。服务器存储用户公钥，客户端用私钥证明自己。这里的主要缺点是，对于客户端来说，记住私钥要比记住密码要困难得多。这可以通过从密码派生私钥来避免(使用password+salt作为随机数生成器的种子，用于生成私钥)。