Podle toho co vim, tak Microsoft porad ve spouste systemu potrebuje pouzivat NTLMv2, ktere je treba pri 8 znacich a 3 ruznych skupinach znaku v dnesni dobe zlomitelne na vykonnejsich CPU/GPU radove v dnech az tydnech.
Co vim, tak jediny rozumny zpusob ochrany v takovychto sitich je periodicka obnova hesla a kontrola jeho slozitosti. Co na to panove z NISTu?
Přesně, periodická změna hesla má stále smysl třeba při použití slabšího (rychlého) hashovacího algoritmu (který nejde jednoduše změnit), nemožnosti blokovat účty po neúspěšných přihlášeních (např. při použití jednotného identity managementu pro vnější i vnitřní systémy) nebo bez možnosti 2FA (nepodpora ze strany použitého systému, politické problémy, ...). Je vždycky třeba zvážit, které řešení je pro danou situaci vhodnější a bezpečnější.
Tak tak, v bývalé práci v laboratořích existoval univerzální účet. Všichni ho znali a věděli, že když po třech měsících od někoho přijde mail "updatoval jsem laboratorní heslo", tak se změnily poslední čtyři znaky z 3Q16 na 4Q16, z 4Q16 na 1Q17 atd... Co to přidalo na bezpečnosti?