Une empreinte est le résultat du hachage d'un mot de passe, donc une transformation par un algorithme non-réversible. Cette opération enregistre dans le système une "image" du mot de passe et empêche quiconque d'accéder au mot de passe en clair.
Au niveau du système, les mots de passe Windows NT sont enregistrés dans une partie de la base de registres (base de données binaire renfermant toutes les données de configuration du système et des applications) nommée SAM. Celle-ci se trouve dans le fichier $windir$\system32\config\sam mais une copie de sauvegarde par "rdisk /s" plus ou moins à jour se trouve dans le fichier $windir$\repair\sam._ et éventuellement sur la disquette de réparation. Une entrée utilisateur de la SAM est constituée :
Les empreintes ne sont en fait pas enregistrées telles quelles dans la SAM mais obscurcies par du chiffrement DES. Chaque moitié est chiffrée avec des valeurs calculées à partir de fonctions du RID de l'utilisateur. L'objectif de ce chiffrement est d'empêcher deux utilisateurs ayant le même mot de passe d'avoir une même entrée dans le fichier. Ceci ne protège pas de la faiblesse de l'algorithme de calcul des empreintes, toute disquette de sauvegarde doit impérativement être hors de portée de personnes non sûres.
Voir Figure 1 : Stockage d'un mot de passe dans la SAM
Pour plus d'informations, consultez les sources du programme "Offline NT Password & Registry Editor" <http://home.eunet.no/~pnordahl/ntpasswd/> par Petter Nordahl-Hagen.
Sur les contrôleurs de domaines Windows 2000 et XP, les mots de passe sont enregistrés suivant les même algorithmes, mais dans l'Active Directory et non plus dans la SAM.
Les fichiers *.pwd contenant les comptes et mots de passe des utilisateurs déclarés auprès de frontpage sont aussi extrêmement sensibles. En effet, il suffit de changer le nom d'un script de frontpage dans un navigateur par celui d'un des fichiers d'authentification pour en obtenir à distance le contenu. Nous verrons plus tard comment protéger ces fichiers.
Avertissements :