Ver Mensaje Individual
  #4 (permalink)  
Antiguo 03/08/2011, 03:10
moeb
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 11 meses
Puntos: 81
Respuesta: LM Hashes por defecto en XP y 2003.

Cita:
Pues la pregunta básica era porque si utilicé las "XP Small Tables" de OphCrack 3 , que sólo puede (según página oficial) averiguar passwords que contengan letras y números, pero no símbolos, y sin embargo, me averiguó la contraseña "Cd2F3-1975" , es decir , una contraseña con un símbolo cuando el charset sólo contenía letras y números (se puede ver en la descripción de dicha tabla en la pag oficial de OphCrack).
Pues... No lo sé. Supongo que porque además de aplicar tablas, tendrías activo el usar métodos de fuerza bruta... Quizás la contraseña, al ser un año lo del final, no le resultase compleja (o incluso podrías tener activa una opción para mezclar tablas y reglas... Una regla muy habitual es "un caracter y dos números o un caracter y 4 numeros"... Es decir, un caracter para separar un año al final... Podrían ir por ahí los tiros.

En general, una contraseña que tenga "sentido" no es buena... Un año al final de una contraseña (aunque lo separes con un caracter) no es una buena medida. Sería mejor que lo pusieses en medio... Por ejemplo: Cd2-1975-F3

Cita:
la otra pregunta es cómo está esa política de LM por defecto, me parece nefasta, en minutos sino segundos, se sacan las contraseñas de equipos locales y incluso de SAM remotas. Ya sé que es por compatibilidad, pero he visto que hay parches para 98 etc para que acepten NTLM en vez de LM.
¿Que por qué? Pues... ¿Por qué cuando creas el primer usuario por defeto en XP tiene permisos de administrador a pesar de que tambien te pide una contraseña para administrador durante la instalación... Y por qué no te obliga a ponerle contraseña dado que pertenece al grupo administradores? ¿O incluso en windows 7, que pertenece al grupo administradores el primero usuario?

¿Por qué hace las cosas Microsoft? Porque supone que es más cómodo para la gente, que es la que al fin y al cabo compra su producto y que no quieren saber nada de nada, aparte de "quiero bajarme este prorgama que me dijo mi primo y que funcione"... ¿Por qué iban a preocuparse con diferentes usuarios para trabajo o uso habitual y para administrar?

Total. Cuando algo no funcione o se llenen de virus o se lleven algo por delante, ya aparecerá el pringao de turno a arreglarle las cosas... Porque todo el mundo sabe que si algo nos gusta ahcer un domingo por la tarde es arreglar todos los problemas del portátil de nuestro cuñao, que "nosabeporqué va muy lento"...

Vamos. Que no es que la seguridad e informar al usuario de los riesgos que corre con sus acciones, hayan sido nunca una prioridad en Microsoft.

Si no... ¿Por qué introdujeron cosas como el file stream en NTFS? ¿O por qué utilizaban contraseñas que se validaban caracter a caracter para acceder a shares en windows 95/98? (sí... si tu clave era c3po, si mandabas una "c" te decia que el primer caracter era correcto, y así sucesivamente... Vamos, en segundos y con un pequeño script tenías toda la contraseña de cualquier share)...

Pues es algo que tendrás que preguntar en Microsoft. Porque lo que es yo, lo único que te puedo decir es que, haciéndolo así, construyendo S.O. llenos de bugs, muy inseguros y mintiendo al decir que "no se requerían conocimientos para usarlo o mantenerlo" (cosa absolutamente falsa), se han forrado.

¿Lo han hecho mal? Desde el punto de vista de sus cuentas bancarias lo han hecho de puta madre, la verdad :)