企业该如何防御哈希值传递攻击

核心提示： 操作系统供应商认为密码哈希可以加大破解密码的难度，对于一个好的密码哈希，企业该如何防御哈希值传递攻击(2)，攻击者几乎不可能获取密码哈希将其转换为原来的纯文本形式，即使攻击者获得密码哈希数据库(在Windows系统中，攻击者实际上已经成了域管理员，从这点来看，密码哈希数据库是存储在本地SAM数据

操作系统供应商认为密码哈希可以加大破解密码的难度，对于一个好的密码哈希，攻击者几乎不可能获取密码哈希将其转换为原来的纯文本形式，即使攻击者获得密码哈希数据库(在Windows系统中，密码哈希数据库是存储在本地SAM数据库或者Active Directory数据库中的)或者截获网络中的哈希，他都无法立即将其转换为同等的纯文本形式。

对于Windows Vista之前的系统，Windows是以两种哈希形式来存储密码哈希的：LANManager和NT。IBM公司早80年代初创建的 LANManager，这种形式并不安全，尤其是当用于保护最多14位长度的Windows密码时非常容易被攻破。

NT哈希则是很好的加密哈希形式，它能够保护较长或者复杂的密码。Unix、Linux和BSD系统也有类似的密码哈希问题，早期哈希都不安全，SHA-512和Bcrypt这些新哈希则可以抵御破解攻击。

8位字符密码曾被认为是安全的，而现在则推荐广大用户采用至少12位字符的密码。密码破解的速度每年都在提升，在将来可能12位的密码也会变得不安全。

拦截通过技术

大多数研究人员认为哈希值传递攻击还不算严重的问题，而攻击者能够以高级别权限访问哈希的事实则更加令人担忧，攻击者获得管理权限后还有什么做不到的? 在Active Directory网络中，攻击者必须获得域控制器的管理员权限才能够得到大多数用户的哈希，这意味着在大多数情况下，攻击者实际上已经成了域管理员。从这点来看，哈希值传递攻击只是一小部分问题而已。