El sistema operativo es el responsable de almacenar con seguridad y transmitir las credenciales de las cuentas. Windows es compatible con variedad de protocolos para transmitirlas a través de la red y autenticar a las cuentas y con diversos formatos de almacenamiento.
Cuando inicia sesión un usuario desde el cuadro de diálogo a tal efecto, varios componentes trabajan juntos para autenticar las credenciales con seguridad.
Windows server 2003 usa el protocolo Kerberos v5 de forma predeterminada para la autenticación del dominio y también es compatible con el uso de los protocolos Lan Manager(LM), NT Lan Manager (NTLM) y NT Lan Manager v2 (NTLMv2). Debido al uso de sistemas operativos de versión única o de aplicaciones que usan sus mismos métodos de autenticación, Windows Server es compatible con métodos de autenticación anteriores para mantener la compatibilidad con estos sistemas y aplicaciones. Sin embargo, podemos afinar la autenticación en Windows siguiendo nuestras necesidades técnicas.
Lan Manager(LM)
La autenticación con Lan Manager es compatible con los sistemas Windows 2000, XP y 2003.
Las contraseñas LM tienen un límite de 14 caracteres y no son almacenadas por el sistema operativo. En su lugar, se cifran con la función (OWF) de un sentido de LAN Manager, que se forma con la conversión a mayúsculas de la contraseña, añadiendo un relleno de asteriscos hasta los 14 caracteres, si fuese necesario, dividiéndolos luego en dos mitades y cifrando un valor constante con ellas usando el algoritmo DES (Data Encryption Standard).
Cuando un usuario se autentica usando el protocolo LM, la autenticación se efectúa con una interacción simple de Desafío/Respuesta desde el Controlador de Dominio.
El cliente envía una solicitud de autenticación al servidor de inicio de sesión. El servidor devuelve un desafío (que cambia en cada ocasión). El cliente entonces usa el hash LM de la contraseña para cifrar (cambiante en cada ocasión) una cabecera usando DES. El servidor descifra la cabecera cifrada en el cliente usando la contraseña LM almacenada en su base de datos de contraseñas. Si coinciden la enviada y la comprobada, las credenciales son validadas. NTLM funciona de la misma forma, pero con cabeceras más largas. Si un atacante es capaz de capturar paquetes en la autenticación Desafío/Respuesta, podría usar fuerza bruta para encontrar la contraseña; aunque requiere múltiples operaciones de cifrado y consume tiempo, las contraseñas pueden revelarse.
Al reducir los caracteres a 14 y sólo mayúsculas, separándolos en dos mitades de 7, los hashes LM son fácilmente vulnerables a la fuerza bruta y ataques de diccionario. Hay muchas herramientas en Internet para ello.