Nel precedente post abbiamo visto come sia totalmente insicuro salvare le password utente utilizzando Hash LM. Oggi vedremo come fare a disabilitare tale sistema di generazione degli hash, costringendo il nostro sistema operativo ad usare esclusivamente Hash NT (molto più robusto). Premetto che esistono diversi modi per fare ciò: il primo modo consiste nello scegliere una password di dimensioni superiori ai 14 caratteri (quindi almeno di 15 caratteri), mentre il secondo contempla la modifica di un’opportuna chiave di registro. In entrambi i casi, però, la nuova password che andremo a scegliere dovrà contenere caratteri maiuscoli, minuscoli e cifre (poichè HashNT, a differenza di Hash LM, distingue le lettere maiuscole dalle lettere minuscole).

Di seguito descriverò la procedura relativa alla modifica o alla creazione della chiave di registro NoLMHash:

1) Facciamo click sul pulsante Start, scegliamo Esegui, digitiamo regedit e successivamente clicchiamo su ok.

2) Individuiamo la posizione della seguente chiave di registro:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControl/Control/Lsa

3.1) Nel caso in cui all’interno di tale chiave sia presente la DWORD nolmhash, clicchiamo su di essa col pulsante destro del mouse, scegliamo Modifica e successivamente sostituiamo lo 0 visualizzato con un 1 (che corrisponde all’attivazione della DWORD in questione).

3.2) Nel caso in cui all’interno di tale chiave non sia presente la DWORD nolmhash, è necessario crearla, scegliendo Nuovo dal menù Modifica presente nella toolbar in alto, e successivamente selezionando Valore DWORD. A questo punto chiamiamo NoLMHash la DWORD appena creata, clicchiamo sul pulsante destro del mouse, scegliamo Modifica ed impostiamone ad 1 il valore di default.

4) Riavviamo il computer e successivamente scegliamo la nuova password utente.

Posso garantirvi che disabilitando Hash LM l’individuazione della nostra password sarà molto più complessa, in quanto ho effettuato vari test in locale che hanno dimostrato quanto Hash NT sia sicuro. Fate attenzione però: utilizzando solo Hash NT non sarà più possibile per voi, ad esempio, eseguire delle operazioni di login da macchine Windows 95 o Windows 98 verso il vostro Windows XP, in quanto tali sistemi operativi di vecchia generazione supportano esclusivamente password in formato Hash LM (quindi, durante il login, l’operazione di confronto degli hash non potrà mai dare esito positivo). In tutti gli altri casi consiglio vivamente di usare SOLO Hash NT per il salvataggio delle password.

Maggiori informazioni le trovate a questo indirizzo.

A presto.