Active Directory stocke le mot de passe de tous les comptes ordinateurs et de tous
les comptes utilisateurs sous forme
d’une empreinte (appelée aussi HASH). Active Directory peut générer deux types d’empreinte pour un mot de passe de compte utilisateur / ordinateur : Le LMASH : niveau de sécurité très faible (à désactiver obligatoirement). Le NTHASH : niveau de sécurité variable (selon la complexité du mot de passe). La fonction de génération du LMHASH et du NTHASH n’utilise pas de sel. LE LMHASH (LAN MANAGER HASH) Le LMHASH est stocké au niveau de l’attribut dBCSPwd. L’historique des mots de passe est stocké au niveau de l’attribut lmPwdHistory. Ces 2 attributs sont protégés par le système d’exploitation contre les accès en lecture (y compris pour un utilisateur membre du groupe Domain Admins). Dans l’exemple ci-dessous, l’annuaire Active Directory a été configuré pour stocker le mot de passe au format LMHASH. Après changement du mot de passe du compte guillaume.mathieu, l’attribut dBCSPwd reste toujours inaccessible (affiché à Not set).