文章总结： Google旗下Mandiant公开Net-NTLMv1彩虹表，显著放大已沿用20余年的NTLM认证协议被批量破解的风险，微软虽计划淘汰但全球数百万设备仍默认启用，国内缺乏官方支持更易被Relay攻击沦为勒索跳板，文章呼吁立即自查并迁移至FIDO无密码方案 综合评分： 78 文章分类： 威胁情报,漏洞预警,安全建设,数据安全,身份安全

Google旗下网络安全公司发布密码（口令）攻击工具 飞天诚信：这浓眉大眼的也……

原创

飞天诚信 飞天诚信

飞天诚信

2026年1月22日 16:40 北京

近日，Google Cloud 旗下的网络安全品牌 Mandiant 出人意料地公开了一套完整的 Net-NTLMv1 彩虹表数据集。这一举措显著放大了NTLM这一有着超过20年历史的身份认证协议的安全风险。

图源：FreeBuff

Mandiant是一家专注于网络威胁情报与防御解决方案的美国网络安全公司，成立于2004年，其威胁分析模型被美国国家安全局等机构作为参考标准，现已成为Google Cloud旗下的核心网络安全品牌。Mandiant的威胁情报能力已整合到谷歌云安全服务中，利用Duet AI提供生成式AI辅助分析，增强客户的安全运营能力。

彩虹表（Rainbow Table） 是一种用于快速破解哈希密码的预计算技术，通过空间换时间的策略，预先将常见密码生成对应的哈希值并存储。如果获得了密码（口令）的哈希值，通过查表匹配可逆推出口令值。

NTLM（NT LAN Manager）是微软开发的身份认证协议，曾广泛部署于Windows操作系统，主要用于Windows域环境中SMB文件共享和远程访问的身份认证。Net-NTLM 是NTLM网络认证过程中产生的挑战响应值（Challenge-Response Hash），用于验证用户身份。由于NTLM的设计缺陷，Net-NTLM容易被盗取和利用。早在 1999 年，NTLM所采用的密码技术就被证实安全强度不足；从 2012 年起，该协议就被公认为不安全。微软已宣布计划从Windows 11 24H2和Windows Server 2025开始全面淘汰NTLM，但该协议仍部署于数百万台现存的电脑中，这为网络犯罪分子创造了可乘之机，他们不断发现NTLM中的漏洞并加以利用。2023年数据显示，基于NTLM的Net-NTLM Relay攻击仍是勒索软件传播的主要途径之一。

作为一家著名的网络安全公司，做出这等危害网络安全的举动，意欲何为？

 若从善意角度解读，Mandiant此举的目的或许是倒逼组织加速弃用这一不安全协议，重视身份认证的安全升级。然而，不可忽视的是，这一行为客观上大大增加了仍在使用 NTLM 的组织的网络安全风险。对于国内用户而言，这一隐患更显突出 —— 缺乏微软官方服务支持，有可能随 Windows 操作系统默认部署了 NTLM 协议却浑然不觉。既不清楚自身处于风险暴露中，也缺乏专业指导来排查和替换这一老旧协议，无疑成为了网络攻击的 “薄弱靶点”。

在网络攻击手段不断迭代的今天，身份认证作为网络安全的第一道防线，其重要性不言而喻。Mandiant 的举措无论初衷如何，都让 NTLM 协议的安全短板彻底暴露在公众视野中，对于国内缺乏微软服务支持、可能默认启用 NTLM 却不自知的单位来说，这绝非 “善意提醒” 那么简单 —— 看不见的风险，才是最致命的威胁。我们呼吁国内各企业、机构立即开展自查，排查是否仍在使用 NTLM 等不安全的身份认证协议，将其作为近期“两高一弱”治理工作的重点。

“无密码”（Passwordless）是 #FIDO 联盟提出的概念。FIDO 联盟成员包括谷歌、苹果、微软等等，致力于安全强度更高、使用更方便且更易于部署的身份认证机制（“simpler stronger authentication”）。来自世界各地的数百家技术公司和服务提供商在 FIDO 联盟和 W3C 的合作下创建了 “无密码” 登录标准（WebAuthn），该标准已经被数十亿设备和当前主流网络浏览器所支持。飞天诚信于2014年加入FIDO联盟，现为FIDO联盟董事会成员。

作为 FIDO 联盟生态的重要参与者，飞天诚信构建了丰富的“无密码”#FIDO Security Key产品线，为“无密码”的推广做出了扎实的贡献。用户可以通过USB-A、USB-C接口、NFC或BLE接口将FIDO产品连接到电脑或手机，快速、安全地完成账号登录或单点登录。飞天诚信FIDO Security Key现已支持Google、AWS等众多在线服务。

——THE END——

Google旗下网络安全公司“现身说法” 飞天诚信：大力普及MFA

AI聊天机器人被攻破，网安三巨头全中招！飞天诚信：全供应链普及MFA确有必要

“两高一弱”专项整治 飞天诚信能做什么？

百年企业一夕崩塌！中小企业网络安全防护，飞天诚信能帮到啥？

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飞天诚信 飞天诚信 飞天诚信《Google旗下网络安全公司发布密码（口令）攻击工具 飞天诚信：这浓眉大眼的也……》