Active Directory stocke le mot de passe de tous les comptes ordinateurs et de tous

les comptes utilisateurs sous forme

d’une empreinte (appelée aussi HASH).
Active Directory peut générer deux types d’empreinte pour un mot de passe de
compte utilisateur / ordinateur
:
Le LMASH : niveau de sécurité très faible (à désactiver obligatoirement).
Le NTHASH : niveau de sécurité variable (selon la complexité du mot de passe).
La fonction de génération du LMHASH et du NTHASH n’utilise pas de sel.
LE LMHASH (LAN MANAGER HASH)
Le LMHASH est stocké au niveau de l’attribut dBCSPwd. L’historique des mots de
passe est stocké au niveau de l’attribut
lmPwdHistory. Ces 2 attributs sont protégés par le système d’exploitation contre
les accès en lecture (y compris pour
un utilisateur membre du groupe Domain Admins). Dans l’exemple ci-dessous,
l’annuaire Active Directory a été
configuré pour stocker le mot de passe au format LMHASH.
Après changement du mot de passe du compte guillaume.mathieu, l’attribut
dBCSPwd reste toujours inaccessible
(affiché à Not set).