In plaats daarvan gebruikt Windows een complex systeem met hashes en zouten opgeslagen in de Security Account Manager (SAM) database. Deze database is *geen* tekstbestand en de gegevens ervan zijn zwaar beveiligd. Hoewel sommige informatie met betrekking tot gebruikersaccounts en beveiligingsbeleid in het register wordt opgeslagen, worden de wachtwoord-hashes zelf NIET rechtstreeks opgeslagen in een enkele, gemakkelijk toegankelijke registersleutel.

Hier is een overzicht van waarom en hoe het werkt:

* Wachtwoord-hashes, geen wachtwoorden: Windows slaat uw daadwerkelijke wachtwoord nooit op in een bruikbaar formaat. Het maakt gebruik van een cryptografische hashfunctie (historisch gezien LM en NTLM, nu voornamelijk NTLMv2 en Kerberos) om een ​​eenrichtingsweergave van uw wachtwoord te creëren. Deze hasj wordt opgeslagen.

* Zouten: Een "salt" is een willekeurige reeks die vóór het hashen aan het wachtwoord wordt toegevoegd. Dit maakt het voor aanvallers veel moeilijker om ‘regenboogtabellen’ (vooraf berekende tabellen met wachtwoord-hashes) te gebruiken om wachtwoorden te kraken. Zouten worden samen met de hasj opgeslagen.

* Security Account Manager (SAM)-database: De SAM-database (meestal `C:\Windows\System32\config\SAM`) is de primaire locatie voor het opslaan van gebruikersaccountinformatie, inclusief wachtwoord-hashes en salts. Dit is *geen* een registerbestand, maar wordt gebruikt door het beveiligingssubsysteem.

* Beveiligde opslag: De toegang tot de SAM-database is zeer beperkt. Je hebt privileges op 'SYSTEEM'-niveau nodig om zelfs maar te proberen deze te lezen, en zelfs dan zijn de gegevens gecodeerd en vereisen ze specifieke API's om te decoderen.

* Rol van het register: Hoewel het register de wachtwoordbestanden zelf niet opslaat, bevat het wel configuratie-instellingen en beleid met betrekking tot beveiliging, authenticatie en accountbeheer. U kunt bijvoorbeeld informatie vinden over vereisten voor wachtwoordcomplexiteit of Kerberos-instellingen in het register. Deze instellingen hebben indirect invloed op de manier waarop wachtwoorden worden gebruikt, maar zijn niet de wachtwoorden zelf.

Waarom dit belangrijk is:

Het rechtstreeks opslaan van wachtwoorden zou een enorm beveiligingsprobleem vormen. De hashing- en salting-mechanismen, gecombineerd met beperkte toegang tot de SAM-database, zijn ontworpen om gebruikersgegevens te beschermen tegen ongeautoriseerde toegang.

Samengevat:

* Geen directe wachtwoordbestanden in het register.

* Wachtwoord *hashes* en *salts* worden opgeslagen in de SAM-database (geen registerbestand).

* Het register bevat configuratie-instellingen met betrekking tot beveiligingsbeleid, maar niet de wachtwoorden zelf.

Ethische overwegingen: Probeer geen toegang te krijgen tot gebruikerswachtwoordinformatie of deze te wijzigen zonder uitdrukkelijke toestemming. Als u dit wel doet, kan dit ernstige juridische en ethische gevolgen hebben.