¿Están cifrados los hash de Windows en tránsito?

1

Cuando un usuario inicia sesión con credenciales de dominio en una máquina con Windows 7, asumo que se produce algún tipo de protocolo de enlace con el servidor de inicio de sesión / controlador de dominio, donde el hash ntlm enviado por el usuario se compara con el hash en el controlador de dominio .

Si este es el caso, ¿es posible detectar el tráfico de red enviado a los controladores de dominio para interceptar los hashes de contraseña utilizando ataques de suplantación / mtim de arp? ¿O están los hashes cifrados en tránsito?

    
pregunta 21.02.2017 - 21:43
fuente

1 respuesta

1

Sí, en el caso de inicio de sesión interactivo y cualquier autenticación basada en la red de "Windows", sus hashes están protegidos en tránsito. Ni Kerberos ni NTLM envían un hash, en su lugar, el protocolo de enlace utiliza varias criptografías para probar que el usuario conoce la contraseña sin enviarla nunca. NTLMv1 usa criptografía MUY débil y se rompe fácilmente. NTLMv2 y Kerberos son muy fuertes por ahora. Dicho esto, si un atacante puede capturar los paquetes de autenticación, puede usar la fuerza bruta para encontrar la contraseña. Es por esto que es vital requerir contraseñas largas y complejas. enlace

    
respondido por el markgamache 22.02.2017 - 15:45
fuente

Lea otras preguntas en las etiquetas