web-dev-qa-db-ja.com

パスワード履歴/パスワードポリシー

DC(W2003/W2008)のパスワードポリシーで設定されたパスワードの有効期限が切れるまで、ユーザーがそのパスワードを再利用できないように、ドメインが保持する「記憶された」パスワードを指します。

パスワード履歴はどこに保存されますか?

5
RailOcelot

過去のパスワードハッシュは現在のパスワードハッシュと共にSAMに保存されるため、同様に破壊可能です。

私は以前、大規模な財務のパスワード強度監査を実行していましたが、出力の一部は、最後の桁を変更するだけでパスワードを再利用した個人の数の分析になります(パーセンテージでどれだけ大きいかを推測します!)PWDumpとJohn the Ripper非常に喜んでそれらをざっと見ました:-)実際、あなたはパスワードの履歴からいくつかの利点を得ることができます。

これらの履歴ハッシュをフラッシュするには、セキュリティ設定で履歴を0に設定して、パスワードの変更を強制することができます。それでうまくいくかもしれませんが、正直なところわかりません。いずれにしても、パスワード履歴ポリシーを維持することを望んでいる場合、これはパスワード履歴ポリシーを完全に無効にします。

4
Rory Alsop

現在は見つかりませんが、学術研究者からマイクロソフトへの修正方法について提案がありました。現在の機能(パスワード履歴ポリシーを含む)を維持するための暗号化スキームがありますが、古いパスワードへの通常の攻撃は避けます。

1
nealmcb