In plaats daarvan gebruikt Windows een veilig mechanisme om gebruikersaccountgegevens en de bijbehorende inloggegevens op te slaan en te beheren. Hier is een overzicht van hoe het werkt:

* SAM-database (Security Account Manager): De SAM-database is de primaire locatie waar gebruikersaccountinformatie, inclusief wachtwoord-hashes, wordt opgeslagen. Deze database is een bestand en geen registersleutel. Het bevindt zich op:

```

%SystemRoot%\System32\config\SAM

```

Het SAM-bestand is zwaar beveiligd en ontoegankelijk voor de meeste gebruikers en processen. Het is de verantwoordelijkheid van het besturingssysteem om de toegang daartoe te beheren.

* Wachtwoordhashing: Windows slaat wachtwoorden niet op in platte tekst. In plaats daarvan gebruikt het complexe hash-algoritmen (bijvoorbeeld NTLM, Kerberos) om de wachtwoorden om te zetten in onomkeerbare hash-waarden. Deze hashwaarden worden opgeslagen in de SAM-database, samen met andere accountgerelateerde gegevens.

* LSA-geheimen: De Lokale Veiligheidsautoriteit (LSA) beheert lokaal beveiligingsbeleid en slaat gevoelige informatie op, genaamd LSA Secrets . Deze geheimen kunnen serviceaccountwachtwoorden, aanmeldingsreferenties voor domeinen en andere kritieke beveiligingsgerelateerde gegevens omvatten. LSA-geheimen worden opgeslagen (gecodeerd) in het register, met name onder:

```

HKEY_LOCAL_MACHINE\SECURITY\Beleid\Geheimen

```

Het openen en ontsleutelen van LSA-geheimen vereist echter zeer hoge rechten en wordt doorgaans alleen door het besturingssysteem zelf gedaan. Hoewel ze inloggegevens kunnen bevatten, vormen ze niet de belangrijkste wachtwoordopslag.

* Voorkeuren voor groepsbeleid (GPP): Groepsbeleidvoorkeuren *kunnen*, indien verkeerd geconfigureerd, wachtwoorden soms in een gecodeerde (maar vaak gemakkelijk te ontsleutelen) vorm in het register opslaan. Dit wordt beschouwd als een aanzienlijk beveiligingsprobleem en moet worden vermeden. De locatie varieert afhankelijk van de gebruikte GPP.

Belangrijke beveiligingsoverwegingen:

* Directe toegang is beperkt: De SAM-database en LSA Secrets worden beschermd door strenge toegangscontroles. Het rechtstreeks openen of wijzigen ervan kan leiden tot systeeminstabiliteit of beveiligingsinbreuken.

* Hashing is cruciaal: Het gebruik van hash-algoritmen is van fundamenteel belang voor wachtwoordbeveiliging. Zelfs als iemand toegang zou krijgen tot de SAM-database, zou hij de wachtwoord-hashes moeten kraken, wat een rekenintensieve taak is.

* Wachtwoordbeheer is van cruciaal belang: Een goed wachtwoordbeleid (complexiteit, lengte, rotatie) is essentieel om het risico op het kraken van wachtwoorden te minimaliseren.

* Vermijd het opslaan van wachtwoorden in platte tekst: Bewaar wachtwoorden nooit in platte tekst in een bestand of registerinstelling. Gebruik altijd veilige hashing- of encryptiemethoden.

* Houd rekening met GPP-kwetsbaarheden: Als u Groepsbeleidvoorkeuren gebruikt, zorg er dan voor dat u niet per ongeluk wachtwoorden opslaat op een manier die ze gemakkelijk toegankelijk maakt.

Samenvattend:hoewel het register (vooral de `SECURITY`-component) *enkele* gevoelige informatie met betrekking tot beveiliging bevat, is de kernwachtwoorddatabase (de SAM) een apart bestand en worden de wachtwoorden zelf opgeslagen als onomkeerbare hashes, niet als de originele wachtwoorden in platte tekst.