लैन प्रबंधक: Difference between revisions

From Vigyanwiki
(Created page with "{{Short description|Microsoft network operating system}} {{Infobox OS | name = LAN Manager<!-- Name of program or distribution --> | logo = <!-- filename only (no wikilink, no...")
 
No edit summary
Line 41: Line 41:
| prog_language =  
| prog_language =  
}}
}}
LAN प्रबंधक एक बंद [[नेटवर्क ऑपरेटिंग सिस्टम]] (NOS) है जो कई विक्रेताओं से उपलब्ध है और [[3Com]] के सहयोग से [[Microsoft]] द्वारा विकसित किया गया है। इसे 3Com के [[3+साझा करें]] [[सर्वर (कंप्यूटिंग)]] सॉफ़्टवेयर के सफल होने के लिए डिज़ाइन किया गया था जो [[MS-DOS]] के भारी संशोधित संस्करण पर चलता था।
लैन प्रबंधक एक बंद [[नेटवर्क ऑपरेटिंग सिस्टम]] (एनओएस) है जो कई विक्रेताओं से उपलब्ध है और [[3Com]] के सहयोग से [[Microsoft|माइक्रोसॉफ्ट]] द्वारा विकसित किया गया है। इसे 3Com के [[3+साझा करें]] [[सर्वर (कंप्यूटिंग)]] सॉफ़्टवेयर के सफल होने के लिए डिज़ाइन किया गया था जो [[MS-DOS|एमएस-डॉस]] के भारी संशोधित संस्करण पर चलता था।


== इतिहास ==
== इतिहास ==
LAN प्रबंधक OS/2 ऑपरेटिंग सिस्टम [[IBM]] और Microsoft द्वारा [[ सर्वर संदेश ब्लॉक ]] (SMB) प्रोटोकॉल का उपयोग करके सह-विकसित किया गया था। यह मूल रूप से NetBIOS फ्रेम्स (NBF) प्रोटोकॉल या [[ज़ेरॉक्स नेटवर्क सिस्टम्स]] (XNS) प्रोटोकॉल के एक विशेष संस्करण के ऊपर SMB का उपयोग करता था। ये लीगेसी प्रोटोकॉल पिछले उत्पादों जैसे MS-DOS के लिए [[MS-Net]], [[Xenix]]|MS-Xenix के लिए [[Xenix-NET]], और पूर्वोक्त 3+Share से विरासत में मिले थे। यूनिक्स-आधारित सिस्टम के लिए LAN प्रबंधक का एक संस्करण जिसे LAN प्रबंधक/X कहा जाता है, भी उपलब्ध था। LAN प्रबंधक/X [[OpenVMS]], [[Ultrix]] और [[Tru64]] के लिए [[डिजिटल उपकरण निगम]] के [[Pathworks]] उत्पाद का आधार था।<ref name="samba">{{cite web|url=http://de.openvms.org/TUD2005/02_Advanced_Server_and_Samba_Andy_Goldstein.pdf|title=सांबा और ओपनवीएमएस|author=Andy Goldstein|date=2005|access-date=2021-01-01|website=de.openvms.org}}</ref>
लैन प्रबंधक OS/2 ऑपरेटिंग सिस्टम [[IBM|आईबीएम]] और माइक्रोसॉफ्ट द्वारा [[ सर्वर संदेश ब्लॉक ]] (एसएमबी) प्रोटोकॉल का उपयोग करके सह-विकसित किया गया था। यह मूल रूप से नेटबीआईओएस फ्रेम्स (एनबीएफ) प्रोटोकॉल या [[ज़ेरॉक्स नेटवर्क सिस्टम्स]] (एक्सएनएस) प्रोटोकॉल के एक विशेष संस्करण के ऊपर एसएमबी का उपयोग करता था। ये लीगेसी प्रोटोकॉल पिछले उत्पादों जैसे एमएस-डॉस के लिए एमएस-नेट [[Xenix|ज़ेनिक्स]] एमएस-जेनिक्स के लिए [[Xenix-NET|ज़ेनिक्स-नेट]], और पूर्वोक्त 3+शेयर से विरासत में मिले थे। यूनिक्स-आधारित सिस्टम के लिए लैन प्रबंधक का एक संस्करण जिसे लैन प्रबंधक/X कहा जाता है, भी उपलब्ध था। लैन प्रबंधक/X [[OpenVMS|ओपन वीएमएस]], [[Ultrix|अल्ट्रिक्स]] और [[Tru64]] के लिए [[डिजिटल उपकरण निगम]] के [[Pathworks|पाथवर्क्स]] उत्पाद का आधार था।<ref name="samba">{{cite web|url=http://de.openvms.org/TUD2005/02_Advanced_Server_and_Samba_Andy_Goldstein.pdf|title=सांबा और ओपनवीएमएस|author=Andy Goldstein|date=2005|access-date=2021-01-01|website=de.openvms.org}}</ref>
1990 में, माइक्रोसॉफ्ट ने टीसीपी/आईपी (एनबीटी) पर नेटबीआईओएस का उपयोग करते हुए, एसएमबी के लिए परिवहन प्रोटोकॉल के रूप में टीसीपी/आईपी के लिए समर्थन सहित कई सुधारों के साथ लैन प्रबंधक 2.0 की घोषणा की। LAN प्रबंधक का अंतिम संस्करण, 2.2, जिसमें MS-OS/2 1.31 बेस ऑपरेटिंग सिस्टम शामिल था, 1993 में Windows NT 3.1 के रिलीज़ होने तक Microsoft का रणनीतिक सर्वर सिस्टम बना रहा।
 
1990 में, माइक्रोसॉफ्ट ने टीसीपी/आईपी (एनबीटी) पर नेटबीआईओएस का उपयोग करते हुए एसएमबी के लिए परिवहन प्रोटोकॉल के रूप में टीसीपी/आईपी के लिए समर्थन सहित कई सुधारों के साथ लैन प्रबंधक 2.0 की घोषणा की। लैन प्रबंधक का अंतिम संस्करण, 2.2, जिसमें MS-OS/2 1.31 बेस ऑपरेटिंग सिस्टम सम्मिलित था, 1993 में विंडोज एनटी3.1 के रिलीज़ होने तक माइक्रोसॉफ्ट का रणनीतिक सर्वर सिस्टम बना रहा है ।


=== संस्करण ===
=== संस्करण ===
Line 56: Line 57:
* 1994 - एमएस लैन मैनेजर 2.2ए
* 1994 - एमएस लैन मैनेजर 2.2ए


कई विक्रेताओं ने लाइसेंस प्राप्त संस्करण भेज दिए, जिनमें शामिल हैं:
कई विक्रेताओं ने लाइसेंस प्राप्त संस्करण भेज दिए, जिनमें सम्मिलित हैं:
* 3कॉम [[3+खोलें]]
* 3कॉम [[3+खोलें]]
* एचपी लैन मैनेजर/एक्स
* एचपी लैन मैनेजर/एक्स
Line 63: Line 64:
* [[सांता क्रूज़ ऑपरेशन]]
* [[सांता क्रूज़ ऑपरेशन]]


== पासवर्ड हैशिंग एल्गोरिथम == <!-- If you change the name of this section, please make sure you update links on all pages, redirects, etc. that point to it.  Thank you. -->
== पासवर्ड हैशिंग एल्गोरिथम ==
एलएम हैश की गणना निम्नानुसार की जाती है:<ref>{{cite web
एलएम हैश की गणना निम्नानुसार की जाती है:<ref>{{cite web
| url=https://technet.microsoft.com/en-us/library/dd277300.aspx#ECAA
| url=https://technet.microsoft.com/en-us/library/dd277300.aspx#ECAA
Line 82: Line 83:
| work=[[Microsoft Developer Network]]
| work=[[Microsoft Developer Network]]
| access-date=2015-05-12}}</ref>
| access-date=2015-05-12}}</ref>
# यह पासवर्ड 14 बाइट्स के लिए NULL-पैडेड है।<ref name="KB828861">{{cite web
# यह पासवर्ड 14 बाइट्स के लिए अमान्य-पैडेड है।<ref name="KB828861">{{cite web
| url=https://support.microsoft.com/kb/828861
| url=https://support.microsoft.com/kb/828861
| title=Cluster service account password must be set to 15 or more characters if the NoLMHash policy is enabled
| title=Cluster service account password must be set to 15 or more characters if the NoLMHash policy is enabled
Line 88: Line 89:
| date=2006-10-30
| date=2006-10-30
| access-date=2015-05-12}}</ref>
| access-date=2015-05-12}}</ref>
# "फिक्स्ड-लेंथ" पासवर्ड दो 7-बाइट हिस्सों में विभाजित है।
# "फिक्स्ड-लेंथ" पासवर्ड दो 7-बाइट भाग  में विभाजित है।
# इन मानों का उपयोग दो [[डेटा एन्क्रिप्शन मानक]] कुंजी बनाने के लिए किया जाता है, प्रत्येक 7-बाइट आधे से एक, सात बाइट्स को बिट स्ट्रीम में सबसे महत्वपूर्ण बिट के साथ परिवर्तित करके, और प्रत्येक सात बिट्स के बाद एक [[ समता द्वियक ]] डालने के लिए उपयोग किया जाता है (इसलिए <code>1010100</code> बन जाता है <code>10101000</code>). यह DES कुंजी के लिए आवश्यक 64 बिट्स उत्पन्न करता है। (एक डीईएस कुंजी में स्पष्ट रूप से 64 बिट्स होते हैं; हालांकि, इनमें से केवल 56 वास्तव में एल्गोरिथम द्वारा उपयोग किए जाते हैं। इस चरण में जोड़े गए पैरिटी बिट्स को बाद में छोड़ दिया जाता है।)
# इन मानों का उपयोग दो [[डेटा एन्क्रिप्शन मानक]] कुंजी बनाने के लिए किया जाता है, प्रत्येक 7-बाइट आधे से एक, सात बाइट्स को बिट स्ट्रीम में सबसे महत्वपूर्ण बिट के साथ परिवर्तित करके और प्रत्येक सात बिट्स के बाद एक [[ समता द्वियक ]] डालने के लिए उपयोग किया जाता है (इसलिए <code>1010100</code> बन जाता है <code>10101000</code>). यह डीईएस  कुंजी के लिए आवश्यक 64 बिट्स उत्पन्न करता है। (एक डीईएस कुंजी में स्पष्ट रूप से 64 बिट्स होते हैं; चूँकि इनमें से केवल 56 वास्तव में एल्गोरिथम द्वारा उपयोग किए जाते हैं। इस चरण में जोड़े गए पैरिटी बिट्स को बाद में छोड़ दिया जाता है।)
# दो चाबियों में से प्रत्येक का उपयोग निरंतर [[ASCII]] स्ट्रिंग को डीईएस-एन्क्रिप्ट करने के लिए किया जाता है "<code>KGS!@#$%</code>”,<ref group="Notes">The string “KGS!@#$%” could possibly mean '''K'''ey of '''G'''len and '''S'''teve and then the combination of '''Shift + 12345'''. Glen Zorn and Steve Cobb are the authors of RFC 2433 ([[MS-CHAP|Microsoft PPP CHAP Extensions]]).</ref> जिसके परिणामस्वरूप दो 8-बाइट सिफरटेक्स्ट मान होते हैं। डीईएस सिफरमोड को ईसीबी पर सेट किया जाना चाहिए, और पैडिंगमोड को सेट किया जाना चाहिए <code>NONE</code>.
#दो कुंजियों में से प्रत्येक का उपयोग निरंतर एएससीआईआई स्ट्रिंग "KGS!@#$%", [नोट्स 2] को डीईएस-एन्क्रिप्ट करने के लिए किया जाता है, जिसके परिणामस्वरूप दो 8-बाइट सिफरटेक्स्ट मान होते हैं।डीईएस सिफरमोड को ईसीबी पर सेट किया जाना चाहिए, और पैडिंगमोड को<code>NONE</code>. पर सेट किया जाना चाहिए।
# इन दो सिफरटेक्स्ट मानों को 16-बाइट मान बनाने के लिए जोड़ा जाता है, जो कि एलएम हैश है।
# इन दो सिफरटेक्स्ट मानों को 16-बाइट मान बनाने के लिए जोड़ा जाता है जो कि एलएम हैश है।


== सुरक्षा कमजोरियां ==
== सुरक्षा कमजोरियां ==
LAN प्रबंधक प्रमाणीकरण [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] की एक विशेष रूप से कमजोर विधि का उपयोग करता है, उपयोगकर्ता का [[पासवर्ड]] जिसे LM हैश एल्गोरिथम के रूप में जाना जाता है, 1980 के दशक के मध्य से शुरू हुआ जब फ़्लॉपी डिस्क द्वारा प्रसारित वायरस प्रमुख चिंता का विषय थे।<ref name=SecurityWatch />हालांकि यह डेटा एन्क्रिप्शन मानक पर आधारित है, एक अच्छी तरह से अध्ययन किया गया [[ब्लॉक सिफर]], एलएम हैश की डिजाइन में कई कमजोरियां हैं।<ref>{{cite web
लैन प्रबंधक प्रमाणीकरण [[क्रिप्टोग्राफ़िक हैश फ़ंक्शन]] की एक विशेष रूप से अशक्त विधि का उपयोग करता है, उपयोगकर्ता का [[पासवर्ड]] जिसे एलएम हैश एल्गोरिथम के रूप में जाना जाता है, 1980 के दशक के मध्य से प्रारंभ हुआ जब फ़्लॉपी डिस्क द्वारा प्रसारित वायरस प्रमुख चिंता का विषय थे।<ref name=SecurityWatch />चूँकि  यह डेटा एन्क्रिप्शन मानक पर आधारित है एक अच्छी तरह से अध्ययन किया गया [[ब्लॉक सिफर]], एलएम हैश की डिजाइन में कई कमिया हैं।<ref>{{cite web
| url=http://download.microsoft.com/download/f/4/a/f4a67fc8-c499-461d-a025-8155fb4f7a0f/Windows%20Passwords%20Master%201.5%20Handout%20-%20Jesper%20Johansson.ppt
| url=http://download.microsoft.com/download/f/4/a/f4a67fc8-c499-461d-a025-8155fb4f7a0f/Windows%20Passwords%20Master%201.5%20Handout%20-%20Jesper%20Johansson.ppt
| title=Windows Passwords: Everything You Need To Know
| title=Windows Passwords: Everything You Need To Know
Line 102: Line 103:
| date=2004-06-29
| date=2004-06-29
| access-date=2015-05-12}}</ref>
| access-date=2015-05-12}}</ref>
यह इस तरह के हैश को कुछ ही सेकंड में [[ इंद्रधनुष तालिका ]] का उपयोग करके, या कुछ ही मिनटों में [[ पशुबल का आक्रमण ]] का उपयोग करके क्रैक करने योग्य बनाता है। [[विंडोज एनटी]] से शुरू करते हुए, इसे [[एनटीएलएम]] द्वारा बदल दिया गया था, जो अभी भी इंद्रधनुषी तालिकाओं के लिए कमजोर है, और जब तक लंबे, अप्रत्याशित पासवर्ड का उपयोग नहीं किया जाता है, तब तक क्रूर बल के हमले होते हैं, [[पासवर्ड क्रैकिंग]] देखें। NTLM का उपयोग डोमेन नियंत्रकों को छोड़कर स्थानीय खातों के साथ लॉगऑन के लिए किया जाता है क्योंकि Windows Vista और बाद के संस्करण डिफ़ॉल्ट रूप से LM हैश को बनाए नहीं रखते हैं।<ref name=SecurityWatch>{{cite web|author1=Jesper Johansson|title=अब तक की सबसे गलत समझी जाने वाली विंडोज सुरक्षा सेटिंग|url=https://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx|website=TechNet Magazine|publisher=Microsoft|access-date=2 November 2015|quote=Although Windows Vista has not been released yet, it is worthwhile to point out some changes in this operating system related to these protocols. The most important change is that the LM protocol can no longer be used for inbound authentication—where Windows Vista is acting as the authentication server.}}</ref> Kerberos (प्रोटोकॉल) सक्रिय निर्देशिका वातावरण में प्रयोग किया जाता है।


लैन मैनेजर ऑथेंटिकेशन प्रोटोकॉल की प्रमुख कमजोरियां हैं:<ref>Rahul Kokcha</ref>
यह इस तरह के हैश को कुछ ही सेकंड में [[ इंद्रधनुष तालिका | इंद्रधनुष तालिका]] का उपयोग करके या कुछ ही मिनटों में [[ पशुबल का आक्रमण | पशुबल का आक्रमण]] का उपयोग करके क्रैक करने योग्य बनाता है। [[विंडोज एनटी]] से प्रारंभ करते हुए इसे [[एनटीएलएम]] द्वारा बदल दिया गया था, जो अभी भी इंद्रधनुषी तालिकाओं के लिए अशक्त है और जब तक लंबे, अप्रत्याशित पासवर्ड का उपयोग नहीं किया जाता है, तब तक क्रूर बल के हमले होते हैं, [[पासवर्ड क्रैकिंग]] देखें। एनटीएलएएम का उपयोग डोमेन नियंत्रकों को छोड़कर स्थानीय खातों के साथ लॉगऑन के लिए किया जाता है क्योंकि विंडोज विस्टा और बाद के संस्करण डिफ़ॉल्ट रूप से एलएम हैश को बनाए नहीं रखते हैं।<ref name="SecurityWatch">{{cite web|author1=Jesper Johansson|title=अब तक की सबसे गलत समझी जाने वाली विंडोज सुरक्षा सेटिंग|url=https://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx|website=TechNet Magazine|publisher=Microsoft|access-date=2 November 2015|quote=Although Windows Vista has not been released yet, it is worthwhile to point out some changes in this operating system related to these protocols. The most important change is that the LM protocol can no longer be used for inbound authentication—where Windows Vista is acting as the authentication server.}}</ref> करबरोस (प्रोटोकॉल) सक्रिय निर्देशिका वातावरण में प्रयोग किया जाता है।
# पासवर्ड की लंबाई ASCII#ASCII प्रिंट करने योग्य वर्णों से चुने गए अधिकतम 14 वर्णों तक सीमित है।
# पासवर्ड केस सेंसिटिव नहीं होते हैं। हैश मान उत्पन्न करने से पहले सभी पासवर्ड अपरकेस में परिवर्तित हो जाते हैं। इसलिए LM हैश पासवर्ड, पासवर्ड, PaSsWoRd, पासवर्ड और अन्य समान संयोजनों को पासवर्ड के समान मानता है। यह अभ्यास LM हैश [[कुंजी स्थान (क्रिप्टोग्राफी)]] को प्रभावी रूप से 69 वर्णों तक कम कर देता है।
# एक 14-वर्ण का पासवर्ड 7+7 वर्णों में विभाजित किया गया है और हैश की गणना प्रत्येक आधे के लिए अलग-अलग की जाती है। हैश की गणना करने के इस तरीके से क्रैक करना नाटकीय रूप से आसान हो जाता है, क्योंकि हमलावर को केवल पूरे 14 वर्णों के बजाय दो बार ब्रूट-फोर्स अटैक|ब्रूट-फोर्स 7 वर्णों की आवश्यकता होती है। यह 14-वर्ण वाले पासवर्ड की प्रभावी शक्ति को केवल के बराबर बनाता है <math>2\times69^{7} \approx 2^{44}</math>, या 7-वर्ण वाले पासवर्ड का दोगुना, जो कि 3.7 ट्रिलियन गुना कम जटिल है <math>69^{14} \approx 2^{86}</math> 14-कैरेक्टर सिंगल-केस पासवर्ड की सैद्धांतिक ताकत। 2020 तक, हाई-एंड [[ग्राफिक्स प्रोसेसर]] (जीपीयू) से लैस एक कंप्यूटर प्रति सेकंड 40 बिलियन एलएम-हैश की गणना कर सकता है।<ref>[https://www.onlinehashcrack.com/tools-benchmark-hashcat-nvidia-rtx-2070s-super.php Benchmark Hashcat v6.1.1 on RTX 2070S (SUPER)], Mode 3000 LM,  accessed November 29, 2020</ref> उस दर पर, 95-वर्ण सेट से सभी 7-वर्ण पासवर्ड का परीक्षण किया जा सकता है और आधे घंटे में तोड़ा जा सकता है; सभी 7-वर्ण [[अक्षरांकीय]] पासवर्ड का परीक्षण किया जा सकता है और 2 सेकंड में तोड़ा जा सकता है।
#यदि पासवर्ड 7 वर्ण या उससे कम है, तो हैश का दूसरा भाग हमेशा समान स्थिर मान (0xAAD3B435B51404EE) उत्पन्न करेगा। इसलिए, एक पासवर्ड जो 7 अक्षरों से कम या बराबर है, उसे उपकरणों का उपयोग किए बिना स्पष्ट रूप से पहचाना जा सकता है (हालांकि उच्च गति वाले जीपीयू हमलों के साथ, यह कम मायने रखता है)
# हैश वैल्यू बिना [[ नमक (क्रिप्टोग्राफी) ]] के नेटवर्क सर्वर को भेजी जाती है, जिससे यह हैश पास करने जैसे मैन-इन-द-बीच हमलों के लिए अतिसंवेदनशील हो जाता है। नमक के बिना, टाइम-मेमोरी ट्रेडऑफ़ [[पूर्व-गणना शब्दकोश हमला]], जैसे रेनबो टेबल, संभव हैं। 2003 में, रेनबो टेबल तकनीक के एक कार्यान्वयन [[ओफक्रैक]] को प्रकाशित किया गया था। यह विशेष रूप से एलएम एन्क्रिप्शन की कमजोरियों को लक्षित करता है, और कुछ सेकंड में लगभग सभी अल्फ़ान्यूमेरिक एलएम हैश को क्रैक करने के लिए पर्याप्त पूर्व-गणना डेटा शामिल करता है। कई क्रैकिंग टूल, जैसे कि [[रेनबोक्रैक]], [[ हश्चत ]], [[L0phtCrack]] और कैन (सॉफ़्टवेयर), अब समान हमलों को शामिल करते हैं और LM हैश को क्रैक करना तेज़ और तुच्छ बनाते हैं।


== वर्कअराउंड्स ==
लैन मैनेजर ऑथेंटिकेशन प्रोटोकॉल की प्रमुख कमिया हैं:<ref>Rahul Kokcha</ref>
LM एन्क्रिप्शन और प्रमाणीकरण योजनाओं में निहित सुरक्षा कमजोरियों को दूर करने के लिए, Microsoft ने 1993 में Windows NT 3.1 के साथ [[NTLMv1]] प्रोटोकॉल पेश किया। हैशिंग के लिए, एनटीएलएम [[यूनिकोड]] समर्थन का उपयोग करता है, प्रतिस्थापित करता है <code>LMhash=DESeach(DOSCHARSET(UPPERCASE(password)), "KGS!@#$%")</code> द्वारा <code>NThash=[[MD4]]([[UTF-16]]-LE(password))</code>, जिसके लिए किसी पैडिंग या ट्रंकिंग की आवश्यकता नहीं होती है जो कुंजी को सरल बनाती है। नकारात्मक पक्ष पर, उसी डीईएस एल्गोरिथ्म का उपयोग बाद के प्रमाणीकरण चरणों के लिए केवल [[56-बिट एन्क्रिप्शन]] के साथ किया गया था, और अभी भी कोई नमकीन नहीं है। इसके अलावा, एलएम हैश और एनटीएलएम हैश दोनों से प्राप्त प्रतिक्रियाओं को भेजने और स्वीकार करने के लिए विंडोज मशीनों को डिफ़ॉल्ट रूप से कॉन्फ़िगर किया गया था, इसलिए एनटीएलएम हैश के उपयोग ने कोई अतिरिक्त सुरक्षा प्रदान नहीं की, जबकि कमजोर हैश अभी भी मौजूद था। उपयोगकर्ता प्रबंधक जैसे प्रबंधन उपकरणों में पासवर्ड की लंबाई पर कृत्रिम प्रतिबंध हटाने में भी समय लगा।
# पासवर्ड की लंबाई एएससीआईआई या एएससीआईआई प्रिंट करने योग्य वर्णों से चुने गए अधिकतम 14 वर्णों तक सीमित है।
# पासवर्ड केस सेंसिटिव नहीं होते हैं। हैश मान उत्पन्न करने से पहले सभी पासवर्ड अपरकेस में परिवर्तित हो जाते हैं। इसलिए एलएम हैश PassWord, password, PaSsWoRd, PASSword और अन्य समान संयोजनों को पासवर्ड के समान मानता है। यह अभ्यास एलएम हैश [[कुंजी स्थान (क्रिप्टोग्राफी)]] को प्रभावी रूप से 69 वर्णों तक कम कर देता है।
# एक 14-वर्ण का पासवर्ड 7+7 वर्णों में विभाजित किया गया है और हैश की गणना प्रत्येक आधे के लिए अलग-अलग की जाती है। हैश की गणना करने के इस विधि से क्रैक करना नाटकीय रूप से आसान हो जाता है, क्योंकि हमलावर को केवल पूरे 14 वर्णों के अतिरिक्त दो बार ब्रूट-फोर्स अटैक ब्रूट-फोर्स 7 वर्णों की आवश्यकता होती है। यह 14-वर्ण वाले पासवर्ड की प्रभावी शक्ति को केवल <math>2\times69^{7} \approx 2^{44}</math> के समान बनाता है, या 7-वर्ण वाले पासवर्ड का दोगुना, जो कि 3.7 ट्रिलियन गुना कम जटिल है <math>69^{14} \approx 2^{86}</math> 14-अक्षर सिंगल-केस पासवर्ड की सैद्धांतिक ताकत 2020 तक हाई-एंड [[ग्राफिक्स प्रोसेसर]] (जीपीयू) से लैस एक कंप्यूटर प्रति सेकंड 40 बिलियन एलएम-हैश की गणना कर सकता है।<ref>[https://www.onlinehashcrack.com/tools-benchmark-hashcat-nvidia-rtx-2070s-super.php Benchmark Hashcat v6.1.1 on RTX 2070S (SUPER)], Mode 3000 LM,  accessed November 29, 2020</ref> उस दर पर 95-वर्ण सेट से सभी 7-वर्ण पासवर्ड का परीक्षण किया जा सकता है और आधे घंटे में तोड़ा जा सकता है; सभी 7-वर्ण [[अक्षरांकीय]] पासवर्ड का परीक्षण किया जा सकता है और 2 सेकंड में तोड़ा जा सकता है।
#यदि पासवर्ड 7 वर्ण या उससे कम है तो हैश का दूसरा भाग हमेशा समान स्थिर मान (0xAAD3B435B51404EE) उत्पन्न करेगा। इसलिए, एक पासवर्ड जो 7 अक्षरों से कम या समान  है, उसे उपकरणों का उपयोग किए बिना स्पष्ट रूप से पहचाना जा सकता है (चूँकि  उच्च गति वाले जीपीयू हमलों के साथ, यह कम मायने रखता है)।
# हैश वैल्यू बिना [[ नमक (क्रिप्टोग्राफी) | साल्ट (क्रिप्टोग्राफी)]]  के नेटवर्क सर्वर को भेजी जाती है, जिससे यह हैश पास करने जैसे मैन-इन-द-बीच हमलों के लिए अतिसंवेदनशील हो जाता है। साल्ट के बिना, टाइम-मेमोरी ट्रेडऑफ़ [[पूर्व-गणना शब्दकोश हमला]], जैसे रेनबो टेबल, संभव हैं। 2003 में, रेनबो टेबल विधि के एक कार्यान्वयन [[ओफक्रैक]] को प्रकाशित किया गया था। यह विशेष रूप से एलएम एन्क्रिप्शन की कमियों को लक्षित करता है, और कुछ सेकंड में लगभग सभी अल्फ़ान्यूमेरिक एलएम हैश को क्रैक करने के लिए पर्याप्त पूर्व-गणना डेटा सम्मिलित करता है। कई क्रैकिंग उपकरण , जैसे कि [[रेनबोक्रैक]], [[ हश्चत | हश्चत]] , [[L0phtCrack|L0pht क्रैक]] और कैन (सॉफ़्टवेयर) अब समान हमलों को सम्मिलित करते हैं और एलएम हैश को क्रैक करना तेज़ और तुच्छ बनाते हैं।


जबकि LAN प्रबंधक को अप्रचलित माना जाता है और वर्तमान Windows ऑपरेटिंग सिस्टम मजबूत NTLMv2 या Kerberos (प्रोटोकॉल) प्रमाणीकरण विधियों का उपयोग करते हैं, [[Windows Vista]]/[[Windows Server 2008]] से पहले के Windows सिस्टम ने विरासत LAN प्रबंधक और [[Windows ME]] या के साथ पश्चगामी संगतता के लिए LAN प्रबंधक हैश को डिफ़ॉल्ट रूप से सक्षम किया था। पुराने ग्राहक, या लीगेसी [[NetBIOS]]-सक्षम अनुप्रयोग। कई वर्षों से समझौता किए गए LM और NTLMv1 प्रमाणीकरण प्रोटोकॉल को अक्षम करने के लिए अच्छा सुरक्षा अभ्यास माना जाता है जहाँ उनकी आवश्यकता नहीं होती है।<ref name="KB299656">{{cite web
== समाधान ==
एलएम एन्क्रिप्शन और प्रमाणीकरण योजनाओं में निहित सुरक्षा कमियों को दूर करने के लिए माइक्रोसॉफ्ट ने 1993 में विंडोज एनटी3.1 के साथ [[NTLMv1|एनटीएलएमवी1]]  प्रोटोकॉल प्रस्तुत किया। हैशिंग के लिए एनटीएलएम [[यूनिकोड]] समर्थन का उपयोग करता है प्रतिस्थापित करता है <code>LMhash=DESeach(DOSCHARSET(UPPERCASE(password)), "KGS!@#$%")</code> द्वारा <code>NThash=[[MD4]]([[UTF-16]]-LE(password))</code>, जिसके लिए किसी पैडिंग या ट्रंकिंग की आवश्यकता नहीं होती है जो कुंजी को सरल बनाती है। नकारात्मक पक्ष पर उसी डीईएस एल्गोरिथ्म का उपयोग बाद के प्रमाणीकरण चरणों के लिए केवल [[56-बिट एन्क्रिप्शन]] के साथ किया गया था, और अभी भी कोई सल्टिंग नहीं है। इसके अतिरिक्त एलएम हैश और एनटीएलएम हैश दोनों से प्राप्त प्रतिक्रियाओं को भेजने और स्वीकार करने के लिए विंडोज मशीनों को डिफ़ॉल्ट रूप से कॉन्फ़िगर किया गया था, इसलिए एनटीएलएम हैश के उपयोग ने कोई अतिरिक्त सुरक्षा प्रदान नहीं की जबकि अशक्त हैश अभी भी उपस्थित था। उपयोगकर्ता प्रबंधक जैसे प्रबंधन उपकरणों में पासवर्ड की लंबाई पर कृत्रिम प्रतिबंध हटाने में भी समय लगा था ।
 
जबकि लैन प्रबंधक को अप्रचलित माना जाता है और वर्तमान विंडो ऑपरेटिंग सिस्टम शसक्त एनटीएलएमवी2 या करबरोस (प्रोटोकॉल) प्रमाणीकरण विधियों का उपयोग करते हैं, [[Windows Vista|विंडो विस्टा]]/[[Windows Server 2008|विंडो सर्वर 2008]] से पहले के विंडो सिस्टम ने विरासत लैन प्रबंधक और [[Windows ME|विंडो एमई]] या के साथ पश्चगामी संगतता के लिए लैन प्रबंधक हैश को डिफ़ॉल्ट रूप से सक्षम किया था। पुराने ग्राहक, या लीगेसी [[NetBIOS|नेटबीआईओएस]]-सक्षम अनुप्रयोग। कई वर्षों से समझौता किए गए एलएम और एनटीएलएमवी1 प्रमाणीकरण प्रोटोकॉल को अक्षम करने के लिए अच्छा सुरक्षा अभ्यास माना जाता है जहाँ उनकी आवश्यकता नहीं होती है।<ref name="KB299656">{{cite web
| url=https://support.microsoft.com/kb/299656
| url=https://support.microsoft.com/kb/299656
| title=How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases
| title=How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases
Line 120: Line 122:
| date=2007-12-03
| date=2007-12-03
| access-date=2015-05-12}}</ref>
| access-date=2015-05-12}}</ref>
Windows Vista और Windows Server 2008 से प्रारंभ करते हुए, Microsoft ने डिफ़ॉल्ट रूप से LM हैश को अक्षम कर दिया; सुविधा को सुरक्षा नीति सेटिंग के माध्यम से स्थानीय खातों के लिए और [[सक्रिय निर्देशिका]] खातों के लिए डोमेन [[समूह नीति]] के माध्यम से समान सेटिंग लागू करके सक्षम किया जा सकता है। Windows 2000, Windows XP और NT में सुविधा को बंद करने के लिए उसी विधि का उपयोग किया जा सकता है।<ref name="KB299656"/>उपयोगकर्ता कम से कम पंद्रह वर्णों के पासवर्ड का उपयोग करके एलएम हैश को अपने स्वयं के पासवर्ड के लिए उत्पन्न होने से रोक सकते हैं।<ref name="KB828861"/>--
एनटीएलएम हैश हाल के वर्षों में विभिन्न हमलों के प्रति संवेदनशील हो गया है जो प्रभावी रूप से उन्हें आज उतना ही कमजोर बना देता है जितना 1998 में लैनमैन हैश वापस आ गया था।{{Citation needed|date=August 2016}}


== एलएम हैश == के निरंतर उपयोग के कारण
विंडो विस्टा और विंडो सर्वर 2008 से प्रारंभ करते हुए, माइक्रोसॉफ्ट ने डिफ़ॉल्ट रूप से एलएम हैश को अक्षम कर दिया; सुविधा को सुरक्षा नीति सेटिंग के माध्यम से स्थानीय खातों के लिए और [[सक्रिय निर्देशिका]] खातों के लिए डोमेन [[समूह नीति]] के माध्यम से समान सेटिंग प्रयुक्त करके सक्षम किया जा सकता है। विंडो 2000, विंडो एक्सपी और एनटीमें सुविधा को बंद करने के लिए उसी विधि का उपयोग किया जा सकता है।<ref name="KB299656" /> उपयोगकर्ता कम से कम पंद्रह वर्णों के पासवर्ड का उपयोग करके एलएम हैश को अपने स्वयं के पासवर्ड के लिए उत्पन्न होने से रोक सकते हैं।<ref name="KB828861" /> --एनटीएलएम हैश हाल के वर्षों में विभिन्न हमलों के प्रति संवेदनशील हो गया है जो प्रभावी रूप से उन्हें आज उतना ही अशक्त बना देता है जितना 1998 में लैनमैन हैश वापस आ गया था।{{Citation needed|date=August 2016}}
कई लीगेसी तृतीय पक्ष सर्वर मैसेज ब्लॉक कार्यान्वयन ने मजबूत प्रोटोकॉल के लिए समर्थन जोड़ने में काफी समय लिया है जो Microsoft ने LM हैशिंग को बदलने के लिए बनाया है क्योंकि इन पुस्तकालयों का समर्थन करने वाले [[खुला स्रोत सॉफ्टवेयर]] समुदायों को पहले नए प्रोटोकॉल-सांबा (सॉफ़्टवेयर[[रिवर्स इंजीनियरिंग]] को रिवर्स करना पड़ा था। [[NTLMv2]] समर्थन को जोड़ने में 5 वर्ष लगे, जबकि [[JCIFS]] को 10 वर्ष लगे।
 
=== एलएम हैश के निरंतर उपयोग के कारण ===
कई लीगेसी तृतीय पक्ष सर्वर मैसेज ब्लॉक कार्यान्वयन ने शसक्त प्रोटोकॉल के लिए समर्थन जोड़ने में अधिक समय लिया है जो माइक्रोसॉफ्ट ने एलएम हैशिंग को बदलने के लिए बनाया है क्योंकि इन पुस्तकालयों का समर्थन करने वाले [[खुला स्रोत सॉफ्टवेयर|विवर्त स्रोत सॉफ्टवेयर]] समुदायों को पहले नए प्रोटोकॉल-सांबा (सॉफ़्टवेयर [[रिवर्स इंजीनियरिंग]] को रिवर्स करना पड़ा था। [[NTLMv2|एनटीएलएमवी2]] समर्थन को जोड़ने में 5 वर्ष लगे, जबकि [[JCIFS|जेसीआईएफएस]] को 10 वर्ष लगे।


{| class="wikitable"
{| class="wikitable"
|-
|-
|+ Availability of NTLM protocols to replace LM authentication
|+ एलईएम प्रमाणीकरण को बदलने के लिए एनटीएलएएम प्रोटोकॉल की उपलब्धता
! Product
! उत्पाद
! NTLMv1 support
! एनटीएलएमवी1 समर्थन
! NTLMv2 support
! एनटीएलएमवी2 समर्थन
|-
|-
| [[Windows NT 3.1]]
| [[Windows NT 3.1|विंडो एनटी3.1]]
| RTM (1993)
| आरटीएम (1993)
| Not supported
| समर्थित नहीं
|-
|-
| [[Windows NT 3.5]]
| [[Windows NT 3.5|विंडो एनटी3.5]]
| RTM (1994)
| आरटीएम (1994)
| Not supported
| समर्थित नहीं
|-
|-
|-
|-
| [[Windows NT 3.51]]
| [[Windows NT 3.51|विंडो एनटी3.51]]
| RTM (1995)
| आरटीएम (1995)
| Not supported
| समर्थित नहीं
|-
|-
| [[Windows NT 4]]
| [[Windows NT 4|विंडो एनटी4]]
| RTM (1996)
| आरटीएम (1996)
| Service Pack 4<ref>{{cite web
| Service Pack 4<ref>{{cite web
| url=https://support.microsoft.com/kb/194507
| url=https://support.microsoft.com/kb/194507
Line 155: Line 157:
| access-date=2015-05-12}}</ref> (25 October 1998)
| access-date=2015-05-12}}</ref> (25 October 1998)
|-
|-
| [[Windows 95]]
| [[Windows 95|विंडो 95]]
| Not supported
| समर्थित नहीं
| Directory services client (released with [[Windows 2000]] Server, 17 February 2000)
| Directory services client (released with [[Windows 2000|विंडो 2000]] Server, 17 February 2000)
|-
|-
| [[Windows 98]]
| [[Windows 98|विंडो 98]]
| RTM
| आरटीएम
| Directory services client (released with [[Windows 2000]] Server, 17 February 2000)
| Directory services client (released with [[Windows 2000|विंडो 2000]] Server, 17 February 2000)
|-
|-
| [[Windows 2000]]
| [[Windows 2000|विंडो 2000]]
| RTM (17 February 2000)
| आरटीएम (17 फ़रवरी 2000)
| RTM (17 February 2000)
| आरटीएम (17 February 2000)
|-
|-
| [[Windows Me]]
| [[Windows Me|विंडो Me]]
| RTM (14 September 2000)
| आरटीएम (14 सितंबर 2000)
| Directory services client (released with [[Windows 2000]] Server, 17 February 2000)
| Directory services client (released with [[Windows 2000|विंडो 2000]] Server, 17 February 2000)
|-
|-
| [[Samba (software)|Samba]]
| [[Samba (software)|Samba]]
| ?
| ?
| Version 3.0<ref>{{cite web
| Version 3.0<ref>{{cite web
| url=https://www.samba.org/samba/history/samba-3.0.0.html
| url=https://www.samba.org/samba/history/samba-3.0.0.html
Line 180: Line 182:
| access-date=2015-05-12}}</ref> (24 September 2003)
| access-date=2015-05-12}}</ref> (24 September 2003)
|-
|-
| JCIFS
| जेसीआईएफएस
| Not supported
| समर्थित नहीं
| Version 1.3.0 (25 October 2008)<ref>{{cite web
| Version 1.3.0 (25 October 2008)<ref>{{cite web
| url=https://jcifs.samba.org/
| url=https://jcifs.samba.org/
Line 187: Line 189:
| access-date=2015-05-12}}</ref>
| access-date=2015-05-12}}</ref>
|-
|-
| [[IBM AIX]] (SMBFS)
| [[IBM AIX|आईबीएम AIX]] (एसएमबीFS)
| 5.3 (2004)<ref>{{cite web| url=http://www-01.ibm.com/support/knowledgecenter/ssw_aix_53/com.ibm.aix.commadmn/doc/commadmndita/smbfs_intro.htm
| 5.3 (2004)<ref>{{cite web| url=http://www-01.ibm.com/support/knowledgecenter/ssw_aix_53/com.ibm.aix.commadmn/doc/commadmndita/smbfs_intro.htm
| title=AIX 5.3 Networks and communication management: Server Message Block file system
| title=AIX 5.3 Networks and communication management: Server Message Block file system
Line 194: Line 196:
| date=2010-03-15
| date=2010-03-15
| access-date=2015-05-12}}</ref>
| access-date=2015-05-12}}</ref>
| Not supported as of v7.1<ref>{{cite web
| समर्थित नहीं as of v7.1<ref>{{cite web
| url=http://www-01.ibm.com/support/knowledgecenter/ssw_aix_71/com.ibm.aix.networkcomm/smbfs_intro.htm
| url=http://www-01.ibm.com/support/knowledgecenter/ssw_aix_71/com.ibm.aix.networkcomm/smbfs_intro.htm
| title=AIX 7.1 Networks and communication management: Server Message Block file system
| title=AIX 7.1 Networks and communication management: Server Message Block file system
Line 201: Line 203:
| access-date=2015-05-12}}</ref>
| access-date=2015-05-12}}</ref>
|}
|}
उपलब्ध होने वाली सुविधा का समर्थन करने वाले सॉफ़्टवेयर रिलीज़ के बाद खराब पैचिंग व्यवस्थाओं ने कुछ संगठनों को अपने वातावरण में LM हैशिंग का उपयोग जारी रखने में योगदान दिया है, भले ही प्रोटोकॉल सक्रिय निर्देशिका में ही आसानी से अक्षम हो गया हो।
उपलब्ध होने वाली सुविधा का समर्थन करने वाले सॉफ़्टवेयर रिलीज़ के बाद खराब पैचिंग व्यवस्थाओं ने कुछ संगठनों को अपने वातावरण में एलएम हैशिंग का उपयोग जारी रखने में योगदान दिया है, भले ही प्रोटोकॉल सक्रिय निर्देशिका में ही आसानी से अक्षम हो गया हो।


अंत में, विंडोज विस्टा [[की]] रिलीज से पहले, कई अनअटेंडेड बिल्ड प्रोसेस अभी भी WINNT.EXE का उपयोग करके विंडोज की स्थापना शुरू करने के लिए एक डॉस बूट डिस्क ([[विंडोज पीई]] के बजाय) का उपयोग करते थे, कुछ ऐसा जिसके लिए लीगेसी लैन मैनेजर के लिए एलएम हैशिंग को सक्षम करने की आवश्यकता होती है। काम करने के लिए नेटवर्किंग स्टैक।
अंत में, विंडोज विस्टा [[की]] रिलीज से पहले, कई अनअटेंडेड बिल्ड प्रोसेस अभी भी WINNT.EXE का उपयोग करके विंडोज की स्थापना प्रारंभ करने के लिए एक डॉस बूट डिस्क ([[विंडोज पीई]] के बजाय) का उपयोग करते थे, कुछ ऐसा जिसके लिए लीगेसी लैन मैनेजर के लिए एलएम हैशिंग को सक्षम करने की आवश्यकता होती है। काम करने के लिए नेटवर्किंग स्टैक।


== यह भी देखें ==
== यह भी देखें ==

Revision as of 13:08, 2 June 2023

LAN Manager
डेवलपरMicrosoft, 3Com
ओएस परिवारOS/2
काम करने की अवस्थाDiscontinued
स्रोत मॉडलClosed source
आरंभिक रिलीज1987; 37 years ago (1987)
Final release2.2a / 1994; 30 years ago (1994)
विपणन लक्ष्यLocal area networking
अद्यतन विधिRe-installation
पैकेज प्रबंधकNone
प्लेटफार्मोंx86
लाइसेंसProprietary
इससे पहलेMS-Net, Xenix-NET, 3+Share
इसके द्वारा सफ़लMicrosoft Windows NT 3.1

लैन प्रबंधक एक बंद नेटवर्क ऑपरेटिंग सिस्टम (एनओएस) है जो कई विक्रेताओं से उपलब्ध है और 3Com के सहयोग से माइक्रोसॉफ्ट द्वारा विकसित किया गया है। इसे 3Com के 3+साझा करें सर्वर (कंप्यूटिंग) सॉफ़्टवेयर के सफल होने के लिए डिज़ाइन किया गया था जो एमएस-डॉस के भारी संशोधित संस्करण पर चलता था।

इतिहास

लैन प्रबंधक OS/2 ऑपरेटिंग सिस्टम आईबीएम और माइक्रोसॉफ्ट द्वारा सर्वर संदेश ब्लॉक (एसएमबी) प्रोटोकॉल का उपयोग करके सह-विकसित किया गया था। यह मूल रूप से नेटबीआईओएस फ्रेम्स (एनबीएफ) प्रोटोकॉल या ज़ेरॉक्स नेटवर्क सिस्टम्स (एक्सएनएस) प्रोटोकॉल के एक विशेष संस्करण के ऊपर एसएमबी का उपयोग करता था। ये लीगेसी प्रोटोकॉल पिछले उत्पादों जैसे एमएस-डॉस के लिए एमएस-नेट ज़ेनिक्स एमएस-जेनिक्स के लिए ज़ेनिक्स-नेट, और पूर्वोक्त 3+शेयर से विरासत में मिले थे। यूनिक्स-आधारित सिस्टम के लिए लैन प्रबंधक का एक संस्करण जिसे लैन प्रबंधक/X कहा जाता है, भी उपलब्ध था। लैन प्रबंधक/X ओपन वीएमएस, अल्ट्रिक्स और Tru64 के लिए डिजिटल उपकरण निगम के पाथवर्क्स उत्पाद का आधार था।[1]

1990 में, माइक्रोसॉफ्ट ने टीसीपी/आईपी (एनबीटी) पर नेटबीआईओएस का उपयोग करते हुए एसएमबी के लिए परिवहन प्रोटोकॉल के रूप में टीसीपी/आईपी के लिए समर्थन सहित कई सुधारों के साथ लैन प्रबंधक 2.0 की घोषणा की। लैन प्रबंधक का अंतिम संस्करण, 2.2, जिसमें MS-OS/2 1.31 बेस ऑपरेटिंग सिस्टम सम्मिलित था, 1993 में विंडोज एनटी3.1 के रिलीज़ होने तक माइक्रोसॉफ्ट का रणनीतिक सर्वर सिस्टम बना रहा है ।

संस्करण

  • 1987 - एमएस लैन मैनेजर 1.0 (बेसिक/एन्हांस्ड)
  • 1989 - एमएस लैन मैनेजर 1.1
  • 1991 - एमएस लैन मैनेजर 2.0
  • 1992 - एमएस लैन मैनेजर 2.1
  • 1992 - एमएस लैन मैनेजर 2.1ए
  • 1993 - एमएस लैन मैनेजर 2.2
  • 1994 - एमएस लैन मैनेजर 2.2ए

कई विक्रेताओं ने लाइसेंस प्राप्त संस्करण भेज दिए, जिनमें सम्मिलित हैं:

पासवर्ड हैशिंग एल्गोरिथम

एलएम हैश की गणना निम्नानुसार की जाती है:[2][3]

  1. उपयोगकर्ता का पासवर्ड अधिकतम चौदह वर्णों तक सीमित है।[Notes 1]
  2. उपयोगकर्ता का पासवर्ड अपरकेस में बदल दिया गया है।
  3. उपयोगकर्ता का पासवर्ड सिस्टम ओईएम कोड पृष्ठ में एन्कोड किया गया है।[4]
  4. यह पासवर्ड 14 बाइट्स के लिए अमान्य-पैडेड है।[5]
  5. "फिक्स्ड-लेंथ" पासवर्ड दो 7-बाइट भाग में विभाजित है।
  6. इन मानों का उपयोग दो डेटा एन्क्रिप्शन मानक कुंजी बनाने के लिए किया जाता है, प्रत्येक 7-बाइट आधे से एक, सात बाइट्स को बिट स्ट्रीम में सबसे महत्वपूर्ण बिट के साथ परिवर्तित करके और प्रत्येक सात बिट्स के बाद एक समता द्वियक डालने के लिए उपयोग किया जाता है (इसलिए 1010100 बन जाता है 10101000). यह डीईएस कुंजी के लिए आवश्यक 64 बिट्स उत्पन्न करता है। (एक डीईएस कुंजी में स्पष्ट रूप से 64 बिट्स होते हैं; चूँकि इनमें से केवल 56 वास्तव में एल्गोरिथम द्वारा उपयोग किए जाते हैं। इस चरण में जोड़े गए पैरिटी बिट्स को बाद में छोड़ दिया जाता है।)
  7. दो कुंजियों में से प्रत्येक का उपयोग निरंतर एएससीआईआई स्ट्रिंग "KGS!@#$%", [नोट्स 2] को डीईएस-एन्क्रिप्ट करने के लिए किया जाता है, जिसके परिणामस्वरूप दो 8-बाइट सिफरटेक्स्ट मान होते हैं।डीईएस सिफरमोड को ईसीबी पर सेट किया जाना चाहिए, और पैडिंगमोड कोNONE. पर सेट किया जाना चाहिए।
  8. इन दो सिफरटेक्स्ट मानों को 16-बाइट मान बनाने के लिए जोड़ा जाता है जो कि एलएम हैश है।

सुरक्षा कमजोरियां

लैन प्रबंधक प्रमाणीकरण क्रिप्टोग्राफ़िक हैश फ़ंक्शन की एक विशेष रूप से अशक्त विधि का उपयोग करता है, उपयोगकर्ता का पासवर्ड जिसे एलएम हैश एल्गोरिथम के रूप में जाना जाता है, 1980 के दशक के मध्य से प्रारंभ हुआ जब फ़्लॉपी डिस्क द्वारा प्रसारित वायरस प्रमुख चिंता का विषय थे।[6]चूँकि यह डेटा एन्क्रिप्शन मानक पर आधारित है एक अच्छी तरह से अध्ययन किया गया ब्लॉक सिफर, एलएम हैश की डिजाइन में कई कमिया हैं।[7]

यह इस तरह के हैश को कुछ ही सेकंड में इंद्रधनुष तालिका का उपयोग करके या कुछ ही मिनटों में पशुबल का आक्रमण का उपयोग करके क्रैक करने योग्य बनाता है। विंडोज एनटी से प्रारंभ करते हुए इसे एनटीएलएम द्वारा बदल दिया गया था, जो अभी भी इंद्रधनुषी तालिकाओं के लिए अशक्त है और जब तक लंबे, अप्रत्याशित पासवर्ड का उपयोग नहीं किया जाता है, तब तक क्रूर बल के हमले होते हैं, पासवर्ड क्रैकिंग देखें। एनटीएलएएम का उपयोग डोमेन नियंत्रकों को छोड़कर स्थानीय खातों के साथ लॉगऑन के लिए किया जाता है क्योंकि विंडोज विस्टा और बाद के संस्करण डिफ़ॉल्ट रूप से एलएम हैश को बनाए नहीं रखते हैं।[6] करबरोस (प्रोटोकॉल) सक्रिय निर्देशिका वातावरण में प्रयोग किया जाता है।

लैन मैनेजर ऑथेंटिकेशन प्रोटोकॉल की प्रमुख कमिया हैं:[8]

  1. पासवर्ड की लंबाई एएससीआईआई या एएससीआईआई प्रिंट करने योग्य वर्णों से चुने गए अधिकतम 14 वर्णों तक सीमित है।
  2. पासवर्ड केस सेंसिटिव नहीं होते हैं। हैश मान उत्पन्न करने से पहले सभी पासवर्ड अपरकेस में परिवर्तित हो जाते हैं। इसलिए एलएम हैश PassWord, password, PaSsWoRd, PASSword और अन्य समान संयोजनों को पासवर्ड के समान मानता है। यह अभ्यास एलएम हैश कुंजी स्थान (क्रिप्टोग्राफी) को प्रभावी रूप से 69 वर्णों तक कम कर देता है।
  3. एक 14-वर्ण का पासवर्ड 7+7 वर्णों में विभाजित किया गया है और हैश की गणना प्रत्येक आधे के लिए अलग-अलग की जाती है। हैश की गणना करने के इस विधि से क्रैक करना नाटकीय रूप से आसान हो जाता है, क्योंकि हमलावर को केवल पूरे 14 वर्णों के अतिरिक्त दो बार ब्रूट-फोर्स अटैक ब्रूट-फोर्स 7 वर्णों की आवश्यकता होती है। यह 14-वर्ण वाले पासवर्ड की प्रभावी शक्ति को केवल के समान बनाता है, या 7-वर्ण वाले पासवर्ड का दोगुना, जो कि 3.7 ट्रिलियन गुना कम जटिल है 14-अक्षर सिंगल-केस पासवर्ड की सैद्धांतिक ताकत 2020 तक हाई-एंड ग्राफिक्स प्रोसेसर (जीपीयू) से लैस एक कंप्यूटर प्रति सेकंड 40 बिलियन एलएम-हैश की गणना कर सकता है।[9] उस दर पर 95-वर्ण सेट से सभी 7-वर्ण पासवर्ड का परीक्षण किया जा सकता है और आधे घंटे में तोड़ा जा सकता है; सभी 7-वर्ण अक्षरांकीय पासवर्ड का परीक्षण किया जा सकता है और 2 सेकंड में तोड़ा जा सकता है।
  4. यदि पासवर्ड 7 वर्ण या उससे कम है तो हैश का दूसरा भाग हमेशा समान स्थिर मान (0xAAD3B435B51404EE) उत्पन्न करेगा। इसलिए, एक पासवर्ड जो 7 अक्षरों से कम या समान है, उसे उपकरणों का उपयोग किए बिना स्पष्ट रूप से पहचाना जा सकता है (चूँकि उच्च गति वाले जीपीयू हमलों के साथ, यह कम मायने रखता है)।
  5. हैश वैल्यू बिना साल्ट (क्रिप्टोग्राफी) के नेटवर्क सर्वर को भेजी जाती है, जिससे यह हैश पास करने जैसे मैन-इन-द-बीच हमलों के लिए अतिसंवेदनशील हो जाता है। साल्ट के बिना, टाइम-मेमोरी ट्रेडऑफ़ पूर्व-गणना शब्दकोश हमला, जैसे रेनबो टेबल, संभव हैं। 2003 में, रेनबो टेबल विधि के एक कार्यान्वयन ओफक्रैक को प्रकाशित किया गया था। यह विशेष रूप से एलएम एन्क्रिप्शन की कमियों को लक्षित करता है, और कुछ सेकंड में लगभग सभी अल्फ़ान्यूमेरिक एलएम हैश को क्रैक करने के लिए पर्याप्त पूर्व-गणना डेटा सम्मिलित करता है। कई क्रैकिंग उपकरण , जैसे कि रेनबोक्रैक, हश्चत , L0pht क्रैक और कैन (सॉफ़्टवेयर) अब समान हमलों को सम्मिलित करते हैं और एलएम हैश को क्रैक करना तेज़ और तुच्छ बनाते हैं।

समाधान

एलएम एन्क्रिप्शन और प्रमाणीकरण योजनाओं में निहित सुरक्षा कमियों को दूर करने के लिए माइक्रोसॉफ्ट ने 1993 में विंडोज एनटी3.1 के साथ एनटीएलएमवी1 प्रोटोकॉल प्रस्तुत किया। हैशिंग के लिए एनटीएलएम यूनिकोड समर्थन का उपयोग करता है प्रतिस्थापित करता है LMhash=DESeach(DOSCHARSET(UPPERCASE(password)), "KGS!@#$%") द्वारा NThash=MD4(UTF-16-LE(password)), जिसके लिए किसी पैडिंग या ट्रंकिंग की आवश्यकता नहीं होती है जो कुंजी को सरल बनाती है। नकारात्मक पक्ष पर उसी डीईएस एल्गोरिथ्म का उपयोग बाद के प्रमाणीकरण चरणों के लिए केवल 56-बिट एन्क्रिप्शन के साथ किया गया था, और अभी भी कोई सल्टिंग नहीं है। इसके अतिरिक्त एलएम हैश और एनटीएलएम हैश दोनों से प्राप्त प्रतिक्रियाओं को भेजने और स्वीकार करने के लिए विंडोज मशीनों को डिफ़ॉल्ट रूप से कॉन्फ़िगर किया गया था, इसलिए एनटीएलएम हैश के उपयोग ने कोई अतिरिक्त सुरक्षा प्रदान नहीं की जबकि अशक्त हैश अभी भी उपस्थित था। उपयोगकर्ता प्रबंधक जैसे प्रबंधन उपकरणों में पासवर्ड की लंबाई पर कृत्रिम प्रतिबंध हटाने में भी समय लगा था ।

जबकि लैन प्रबंधक को अप्रचलित माना जाता है और वर्तमान विंडो ऑपरेटिंग सिस्टम शसक्त एनटीएलएमवी2 या करबरोस (प्रोटोकॉल) प्रमाणीकरण विधियों का उपयोग करते हैं, विंडो विस्टा/विंडो सर्वर 2008 से पहले के विंडो सिस्टम ने विरासत लैन प्रबंधक और विंडो एमई या के साथ पश्चगामी संगतता के लिए लैन प्रबंधक हैश को डिफ़ॉल्ट रूप से सक्षम किया था। पुराने ग्राहक, या लीगेसी नेटबीआईओएस-सक्षम अनुप्रयोग। कई वर्षों से समझौता किए गए एलएम और एनटीएलएमवी1 प्रमाणीकरण प्रोटोकॉल को अक्षम करने के लिए अच्छा सुरक्षा अभ्यास माना जाता है जहाँ उनकी आवश्यकता नहीं होती है।[10]

विंडो विस्टा और विंडो सर्वर 2008 से प्रारंभ करते हुए, माइक्रोसॉफ्ट ने डिफ़ॉल्ट रूप से एलएम हैश को अक्षम कर दिया; सुविधा को सुरक्षा नीति सेटिंग के माध्यम से स्थानीय खातों के लिए और सक्रिय निर्देशिका खातों के लिए डोमेन समूह नीति के माध्यम से समान सेटिंग प्रयुक्त करके सक्षम किया जा सकता है। विंडो 2000, विंडो एक्सपी और एनटीमें सुविधा को बंद करने के लिए उसी विधि का उपयोग किया जा सकता है।[10] उपयोगकर्ता कम से कम पंद्रह वर्णों के पासवर्ड का उपयोग करके एलएम हैश को अपने स्वयं के पासवर्ड के लिए उत्पन्न होने से रोक सकते हैं।[5] --एनटीएलएम हैश हाल के वर्षों में विभिन्न हमलों के प्रति संवेदनशील हो गया है जो प्रभावी रूप से उन्हें आज उतना ही अशक्त बना देता है जितना 1998 में लैनमैन हैश वापस आ गया था।[citation needed]

एलएम हैश के निरंतर उपयोग के कारण

कई लीगेसी तृतीय पक्ष सर्वर मैसेज ब्लॉक कार्यान्वयन ने शसक्त प्रोटोकॉल के लिए समर्थन जोड़ने में अधिक समय लिया है जो माइक्रोसॉफ्ट ने एलएम हैशिंग को बदलने के लिए बनाया है क्योंकि इन पुस्तकालयों का समर्थन करने वाले विवर्त स्रोत सॉफ्टवेयर समुदायों को पहले नए प्रोटोकॉल-सांबा (सॉफ़्टवेयर रिवर्स इंजीनियरिंग को रिवर्स करना पड़ा था। एनटीएलएमवी2 समर्थन को जोड़ने में 5 वर्ष लगे, जबकि जेसीआईएफएस को 10 वर्ष लगे।

एलईएम प्रमाणीकरण को बदलने के लिए एनटीएलएएम प्रोटोकॉल की उपलब्धता
उत्पाद एनटीएलएमवी1 समर्थन एनटीएलएमवी2 समर्थन
विंडो एनटी3.1 आरटीएम (1993) समर्थित नहीं
विंडो एनटी3.5 आरटीएम (1994) समर्थित नहीं
विंडो एनटी3.51 आरटीएम (1995) समर्थित नहीं
विंडो एनटी4 आरटीएम (1996) Service Pack 4[11] (25 October 1998)
विंडो 95 समर्थित नहीं Directory services client (released with विंडो 2000 Server, 17 February 2000)
विंडो 98 आरटीएम Directory services client (released with विंडो 2000 Server, 17 February 2000)
विंडो 2000 आरटीएम (17 फ़रवरी 2000) आरटीएम (17 February 2000)
विंडो Me आरटीएम (14 सितंबर 2000) Directory services client (released with विंडो 2000 Server, 17 February 2000)
Samba ? Version 3.0[12] (24 September 2003)
जेसीआईएफएस समर्थित नहीं Version 1.3.0 (25 October 2008)[13]
आईबीएम AIX (एसएमबीFS) 5.3 (2004)[14] समर्थित नहीं as of v7.1[15]

उपलब्ध होने वाली सुविधा का समर्थन करने वाले सॉफ़्टवेयर रिलीज़ के बाद खराब पैचिंग व्यवस्थाओं ने कुछ संगठनों को अपने वातावरण में एलएम हैशिंग का उपयोग जारी रखने में योगदान दिया है, भले ही प्रोटोकॉल सक्रिय निर्देशिका में ही आसानी से अक्षम हो गया हो।

अंत में, विंडोज विस्टा की रिलीज से पहले, कई अनअटेंडेड बिल्ड प्रोसेस अभी भी WINNT.EXE का उपयोग करके विंडोज की स्थापना प्रारंभ करने के लिए एक डॉस बूट डिस्क (विंडोज पीई के बजाय) का उपयोग करते थे, कुछ ऐसा जिसके लिए लीगेसी लैन मैनेजर के लिए एलएम हैशिंग को सक्षम करने की आवश्यकता होती है। काम करने के लिए नेटवर्किंग स्टैक।

यह भी देखें

टिप्पणियाँ


संदर्भ

  1. Andy Goldstein (2005). "सांबा और ओपनवीएमएस" (PDF). de.openvms.org. Retrieved 2021-01-01.
  2. "Chapter 3 - Operating System Installation: The LMHash". Microsoft Technet. Retrieved 2015-05-12.
  3. Glass, Eric (2006). "The NTLM Authentication Protocol and Security Support Provider: The LM Response". Retrieved 2015-05-12.
  4. "List of Localized MS Operating Systems". Microsoft Developer Network. Retrieved 2015-05-12.
  5. 5.0 5.1 "Cluster service account password must be set to 15 or more characters if the NoLMHash policy is enabled". Microsoft. 2006-10-30. Retrieved 2015-05-12.
  6. 6.0 6.1 Jesper Johansson. "अब तक की सबसे गलत समझी जाने वाली विंडोज सुरक्षा सेटिंग". TechNet Magazine. Microsoft. Retrieved 2 November 2015. Although Windows Vista has not been released yet, it is worthwhile to point out some changes in this operating system related to these protocols. The most important change is that the LM protocol can no longer be used for inbound authentication—where Windows Vista is acting as the authentication server.
  7. Johansson, Jasper M. (2004-06-29). "Windows Passwords: Everything You Need To Know". Microsoft. Retrieved 2015-05-12.
  8. Rahul Kokcha
  9. Benchmark Hashcat v6.1.1 on RTX 2070S (SUPER), Mode 3000 LM, accessed November 29, 2020
  10. 10.0 10.1 "How to prevent Windows from storing a LAN manager hash of your password in Active Directory and local SAM databases". Microsoft Knowledge Base. 2007-12-03. Retrieved 2015-05-12.
  11. "Windows NT 4.0 Service Pack 4 Readme.txt File (40-bit)". Microsoft. 1998-10-25. Retrieved 2015-05-12.
  12. "The Samba Team announces the first official release of Samba 3.0". SAMBA. 2003-09-24. Retrieved 2015-05-12.
  13. "The Java CIFS Client Library". Retrieved 2015-05-12.
  14. "AIX 5.3 Networks and communication management: Server Message Block file system". IBM. 2010-03-15. p. 441. Retrieved 2015-05-12.
  15. "AIX 7.1 Networks and communication management: Server Message Block file system". IBM. 2011-12-05. Retrieved 2015-05-12.


बाहरी संबंध


Cite error: <ref> tags exist for a group named "Notes", but no corresponding <references group="Notes"/> tag was found