Active Directoryで使用されるパスワードハッシュを計算できますか？

Question

現在、私たちのウェブアプリケーションのユーザーは、パスワードのハッシュ/塩とともにデータベースに保存されています。ハッシュは、ユーザーの作成時に計算され、パスワードが設定され、データベースのユーザーテーブルに格納されます。

ユーザーアカウントを作成してからしばらくして、ドメインにWindowsアカウントを作成し、ユーザーがログに記録するパスワードと同じになるようにドメインユーザーのパスワードを設定したい場合がありますウェブアプリにプレーンテキストのパスワードは保存しないので、作成時にADに送る方法はありません。

私はこの問題を回避することを考えていましたが、ユーザーが最初にパスワードを設定した後、ADを作成したときにADでレコードを設定したときにADが使用するすべてのパスワードハッシュを計算することです。

1. .Netを使用して、どのようにハッシュを作成しますか（MD4、MD5、およびDESと思う）？
2. UserPrincpal.SetPasswordでパスワードの作成をバイパスし、ADによって保存されたハッシュを直接設定するために他の呼び出しを行うことはできますか？

MSにはADからAzureユーザーにパスワードを同期させるツールがあるので、これを行う方法があるようです。 DBのパスワードと同期ADのパスワードを維持しようと

Answer 1

は、二つの理由のために悪い考えです：

• それはメンテナンスのセキュリティ上の弱点（コメントはすでに塩を言及することによって、これを指摘している）
• です問題。 Windows PCによって開始されたパスワード変更により、DBパスワードは変更されません。代わりにウィンドウを作成する

は、同じパスワードでアカウント、 AD認証とWindowsフォーム認証の両方を使用するには、Webアプリケーションの認証を変更します。そうすれば、彼らのAD資格（もしあれば）はユーザ名/パスワードのプロンプトに取って代わるでしょう。

Answer 2

a）暗号化されたパスワードでクリアテキストを返すことができます。b）弱いハッシュは、DBが内外の攻撃者によって侵害された場合に悪い考えです。

別のアプローチを考えてみることができます。 *長い、ランダムで不明なパスワードでユーザーのADアカウントを作成します。アカウントに「ADPasswordLastSet = null」タイムスタンプを挿入します。 *次にユーザーがWebアプリケーションにログインすると、認証後にパスワードがクリアされているため、ADユーザーのパスワードを同じに設定します。 ADPasswordLastSetフラグを更新することを忘れないでください。

したがって、パスワードを同期的に設定できる場合は、どこにでもパスワードを書き込む必要はありません。

覚えておいていただきたいこと：パスワードの複雑さのポリシー - ユーザーが対話するUIに存在するポリシーがより厳しいポリシーを持つようにしたい。