Bei der NTLM authentication wird ja soweit ich weiß das Challenge-Response-Verfahren angewandt. Dabei werden weder Plaintext Passwörter noch die Passwort Hashes übertragen (welche man ja sniffen könnte).
Das Ganze funktioniert ja so, dass der Server eine 8Byte Challenge an den Client sendet. Dieser konvertiert den User Passwort Hash (welcher aus dem User Passwort berechnet wird) in drei DES Schlüssel. Die 8Byte Challenge wird mit jedem der drei Schlüssel verschlüsselt, was eine 24Byte Response ergibt, welche an den Server zurückgeschickt wird.
Der Server muss nun selbst auch diese Berechnung durchführen um die beiden Ergebnisse zu vergleichen. Wenn sie übereinstimmen ist man authentifiziert.
Dazu muss der Server aber den Passwort Hash des Users haben und nun zu meiner Frage:

Wie kommt der User Passwort Hash auf den Server?

Ich hab jetzt schon Stunden im Inet gegoogelt und bei jedem Artikel wurde angenommen dass der Hash schon vorliegt :(

Original geschrieben von Tappi
Wie kommt der User Passwort Hash auf den Server?

Bei Anlegen des User-Accounts auf dem DC wird der Hash erstellt und mit im Account gespeichert.

Muss ein User Account lokal auf dem DC eingerichtet werden? Falls ja, wie läuft das dann wenn der User von der Workstation aus das Passwort ändert, dann muss der neue Hash ja wieder in der SAM des DC gespeichert werden (muss dann ja über ne Leitung, wobei man natürlich wieder mitsniffen könnte).

Die Accounts sind auf dem Domain Controller gespeichert, das ist ja grade der Sinn des DC.
Mann muß nicht auf jedem Rechner einen Account anlegen, sondern hat alle Accounts Zentral auf dem DC.
Man meldet sich also praktisch am DC an und nicht an der Workstation.
Wenn User Passwörter ändern, falls der Admin das überhaupt erlaubt, werden diese wieder im Konto auf dem DC gespeichert.

Ja, es ist mir schon klar, dass die Benutzerkonten auf dem DC gespeichert werden, aber da müssen sie ja erstmal hinkommen. Aber es geht doch nicht jeder Benutzer, der einen Account in einer Domäne möchte (oder sein Passwort ändern will, wenn es der Admin erlaubt hat), an den DC und erstellt dort seinen Account, sondern das macht er von seiner Workstation aus. Aber der Passwort Hash muss für das Challenge-Response ja auf den DC gelangen. Wenn das über das Netzwerk geht, könnte man ja den Hash abfangen.

Ja was hast du denn davon wenn du den Hashwert mitsniffst?
Den kannst du dann nur per Bruteforce knacken und wenn du einigermaßen sichere Passwörter verlangst dauert das schon seine Zeit.
Dann noch alle paar Monate eine Passwortänderung verlangen und du hast ein relativ sicheres Netzwerk.
100% sicher ist nichts, das solltest du nicht vergessen.

Mir gings nur um die Frage wie der Hashwert auf den Server kommt. Da unser E-Commerce Prof. das selbst nicht weiß und es bis jetzt noch kein Semester rausgefunden hat. Dachte vielleicht weiß es jemand hier.

Gruss,
Tappi

mmm...

Kann nur raten (könnte also Blödsinn sein, den ich hier erzähle): soviel ich weiss, muss der Admin den Account erstmal anlegen, solange gibt es den Benutzer gar nicht erst. Ansonsten hätten wir ein fettes Sicherheitsproblem (he, kennt ihr einen Typen mit dem Namen Dr. Allcom ? Nee, hört sich aber megawichtig an, der arbeitet garantiert irgendwo in der Abteilung XY :bonk:. Dort kennt ihn aber niemand ? Wird schon stimmen, ansonsten könnte doch jeder sich einen eigenen Account anlegen ... ). Die Passwortänderung setzt erstmal vorraus, das man das alte Passwort eingegeben hat und sich dadurch identifiziert hat ... was ist der Hashwert selber ? er ist doch nur eine Quersumme aus einigen bestimmten Werten/ Parametern, welche übergeben werden können und die sowohl der Client als auch der Server identisch berechnen (Frage ist nur, wann ?) ... alles nur geraten, aber anders würde es nicht wirklich Sinn machen ...

Ja der Account wird vom Admin angelegt, lokal oder remote sei mal dahingestellt.

Der Hashwert ist einfach das Passwort verschlüsselt, und zwar so dass man es nicht "rückwärts" entschlüsseln kann.
Gut Hashwert ist irgendwie der falsche Ausdruck, aber nen anderer fällt mir gerade nicht ein *g*.

Wie das nun zum Server kommt ist mir auch nicht so klar, Fakt ist aber dass das nicht in Klartext über die Leitung geht. Also entweder lokal verschlüsselt und geschickt oder über eine verschlüsselte Verbindung (oder gar Beides).

mmm...

Gute Frage, wenn ich diese Seite (http://www.innovation.ch/java/ntlm.html) interpretieren sollte, findet eine verschlüsselte Übertragung schon beim Handshake (base64-encoded) statt, jetzt ist nur noch die Frage, ob das Passwort selber nochmal verpackt wird oder nicht ... diese (http://davenport.sourceforge.net/ntlm.html) Seite wirst du wohl schon durchgelesen haben ...