Windows 在密碼儲存的DB (SAM DB)中,一筆帳戶Entry會有兩個密碼欄位。
分別為LM Representation、NT Hash。
LM用來存14字元以下的密碼,在儲存時,
會先把不足的地方用空白去padding,
然後再拆成一半(7,7)分別加上parity bit去做DES。
可想而知,排列組合數大幅減少了。(因為只有7個字元而已)
加上LM會先轉成UPPERCASE,又減弱了密碼強度
因此除非有需要和Windows 98以前的系統溝通,否則建議把LM Representation拿掉的好。
Reg Key是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 裡NoLmHash的登錄機碼
設定為1即可。
PS:Windows 7 預設是 1
沒有留言:
張貼留言