Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cyril Voisin [MS]
Bonjour.
Tout dépend de ce que vous appelez crypter. Par défaut les mots de passe sont stockés sous forme de hashes (résultats d'une fonction mathématique unidirectionnelle non réversible, en clair une empreinte numérique). Ces hashes sont eux-mêmes chiffrés grâce à une clé appelée SYSKEY. Par défaut cette clé se situe sur le disque de la machine mais vous pouvez la délocaliser en la sauvant sur une disquette ou encore mieux en utilisant un mot de passe. Pour le démarrage de la machine (et le décryptage qui suivra) il faut dans un cas mettre la disquette et dans l'autre entrer le mot de passe. Sans aller jusque là, il est important de se rappeler que dans Windows 2000 par défaut un mot de passe est stocké sous forme de 2 hashes distincts : le LMHash et le NTHash. Ce dernier est fort alors que le premier est notoirement faible (vous avez peut-être entendu parler des travaux de l'EPFL sur le sujet). LMHash date de l'époque de LanManager et n'est utilisé que pour des questions de compatibilité avec Windows 3.11 et Windows 9x. Pour Windows 9x, vous pouvez installer le client Active Directory afin d'utiliser l'authentification NTLM qui elle se base sur le NTHash. Alors vous pourrez utiliser le paramètre appelé NoLmHash (une clé de registre) qui permet de ne plus stocker de LMHash. Cela est expliqué dans l'article http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/q299/6/56.asp&NoWebContent=1 Si vous ne pouvez pas utiliser ce paramétrage alors une astuce consiste à mettre un mot de passe de 15 caractère sur les comptes sensibles (administrateurs). De ce fait le LMHash (limité à 14 caractères) ne pourra pas être calculé et cela reviendra à ne pas avoir de LMHash.
Quoi qu'il en soit la menace numéro qui pèse sur les mots de passe est leur manque de complexité (mots du dictionnaire, longueur insuffisante, absence de caractères spéciaux ou accentués). -- Cordialement, cyrilv
"TM" a écrit dans le message de news:3f301ee3$0$27025$
Est-il possible de crypter de manière plus puissante les mots de passes de la base de compte dans un domaine w2k?
Bonjour.
Tout dépend de ce que vous appelez crypter.
Par défaut les mots de passe sont stockés sous forme de hashes (résultats
d'une fonction mathématique unidirectionnelle non réversible, en clair une
empreinte numérique).
Ces hashes sont eux-mêmes chiffrés grâce à une clé appelée SYSKEY. Par
défaut cette clé se situe sur le disque de la machine mais vous pouvez la
délocaliser en la sauvant sur une disquette ou encore mieux en utilisant un
mot de passe. Pour le démarrage de la machine (et le décryptage qui suivra)
il faut dans un cas mettre la disquette et dans l'autre entrer le mot de
passe.
Sans aller jusque là, il est important de se rappeler que dans Windows 2000
par défaut un mot de passe est stocké sous forme de 2 hashes distincts : le
LMHash et le NTHash.
Ce dernier est fort alors que le premier est notoirement faible (vous avez
peut-être entendu parler des travaux de l'EPFL sur le sujet). LMHash date de
l'époque de LanManager et n'est utilisé que pour des questions de
compatibilité avec Windows 3.11 et Windows 9x. Pour Windows 9x, vous pouvez
installer le client Active Directory afin d'utiliser l'authentification NTLM
qui elle se base sur le NTHash.
Alors vous pourrez utiliser le paramètre appelé NoLmHash (une clé de
registre) qui permet de ne plus stocker de LMHash. Cela est expliqué dans
l'article
http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/q299/6/56.asp&NoWebContent=1
Si vous ne pouvez pas utiliser ce paramétrage alors une astuce consiste à
mettre un mot de passe de 15 caractère sur les comptes sensibles
(administrateurs). De ce fait le LMHash (limité à 14 caractères) ne pourra
pas être calculé et cela reviendra à ne pas avoir de LMHash.
Quoi qu'il en soit la menace numéro qui pèse sur les mots de passe est leur
manque de complexité (mots du dictionnaire, longueur insuffisante, absence
de caractères spéciaux ou accentués).
--
Cordialement,
cyrilv
"TM" <tmoyal@free.fr> a écrit dans le message de
news:3f301ee3$0$27025$626a54ce@news.free.fr...
Est-il possible de crypter de manière plus puissante les mots de passes de
la base de compte dans un domaine w2k?
Tout dépend de ce que vous appelez crypter. Par défaut les mots de passe sont stockés sous forme de hashes (résultats d'une fonction mathématique unidirectionnelle non réversible, en clair une empreinte numérique). Ces hashes sont eux-mêmes chiffrés grâce à une clé appelée SYSKEY. Par défaut cette clé se situe sur le disque de la machine mais vous pouvez la délocaliser en la sauvant sur une disquette ou encore mieux en utilisant un mot de passe. Pour le démarrage de la machine (et le décryptage qui suivra) il faut dans un cas mettre la disquette et dans l'autre entrer le mot de passe. Sans aller jusque là, il est important de se rappeler que dans Windows 2000 par défaut un mot de passe est stocké sous forme de 2 hashes distincts : le LMHash et le NTHash. Ce dernier est fort alors que le premier est notoirement faible (vous avez peut-être entendu parler des travaux de l'EPFL sur le sujet). LMHash date de l'époque de LanManager et n'est utilisé que pour des questions de compatibilité avec Windows 3.11 et Windows 9x. Pour Windows 9x, vous pouvez installer le client Active Directory afin d'utiliser l'authentification NTLM qui elle se base sur le NTHash. Alors vous pourrez utiliser le paramètre appelé NoLmHash (une clé de registre) qui permet de ne plus stocker de LMHash. Cela est expliqué dans l'article http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/q299/6/56.asp&NoWebContent=1 Si vous ne pouvez pas utiliser ce paramétrage alors une astuce consiste à mettre un mot de passe de 15 caractère sur les comptes sensibles (administrateurs). De ce fait le LMHash (limité à 14 caractères) ne pourra pas être calculé et cela reviendra à ne pas avoir de LMHash.
Quoi qu'il en soit la menace numéro qui pèse sur les mots de passe est leur manque de complexité (mots du dictionnaire, longueur insuffisante, absence de caractères spéciaux ou accentués). -- Cordialement, cyrilv
"TM" a écrit dans le message de news:3f301ee3$0$27025$
Est-il possible de crypter de manière plus puissante les mots de passes de la base de compte dans un domaine w2k?
