Diferencia entre NTLM y Kerberos (con tabla)

El proceso de autenticación NTLM involucra únicamente al cliente y al servidor IIS7. Sin embargo, bajo el protocolo Kerberos basado en tickets, un tercero de confianza también está al tanto de este proceso de autenticación. Esta diferencia fundamental entre los dos se destaca aún más por las otras diferencias aparentes en un análisis comparativo.

NTLM frente a Kerberos

La diferencia entre NTLM y Kerberos es que el primero es un protocolo de autenticación basado en desafío-respuesta, mientras que el segundo es un protocolo de autenticación basado en tickets. NTLM se refiere a un protocolo de autenticación que utilizan los modelos de Windows más antiguos que no son miembros de un dominio de Active Directory, mientras que Kerberos es esencialmente un protocolo de autenticación basado en tickets que se usa en los modelos más nuevos de Windows que son miembros de un dominio de Active Directory.

Tabla de comparación entre NTLM y Kerberos

Parámetros de comparaciónNTLMKerberos
DefiniciónNTLM es un protocolo de autenticación de Microsoft que se utiliza en los modelos anteriores de Windows que no son miembros de un dominio de Active Directory.Kerberos es un protocolo de autenticación basado en tickets que se utiliza en los últimos modelos de Windows. Estos equipos ya son miembros de un dominio de Active Directory.
Proceso de autenticacionBajo NTLM, el protocolo de autenticación involucra únicamente al cliente y al servidor IIS7.El protocolo de autenticación Kerberos involucra al cliente, al servidor y a un socio de tickets externo de confianza. El tercero suele ser un controlador de dominio de Active Directory.
SeguridadNTLM es menos seguro que el protocolo Kerberos.El protocolo de autenticación Kerberos ofrece una protección mejorada a los usuarios. Es significativamente más seguro que el protocolo NTLM.
Autenticacion mutuaLa función de autenticación mutua está ausente en NTLM.La función de autenticación mutua está incluida en Kerberos.
Delegación y suplantaciónLa delegación no es compatible con NTLM. El protocolo NTML solo admite la suplantación de identidad.Kerberos admite tanto la delegación como la suplantación.
Inicio de sesión con tarjeta inteligenteLos protocolos NTLM no permiten un inicio de sesión de dos factores mediante el uso de tarjetas inteligentes.El protocolo Kerberos permite un procedimiento de inicio de sesión de dos factores mediante el uso de una tarjeta inteligente.
CompatibilidadNTLM es compatible con los modelos anteriores de Windows, como Windows 95, Windows 98, NT 4.0, etc.Kerberos es compatible con todos los últimos modelos de Windows como Microsoft Windows 2000, XP y otros.

¿Qué es NTLM?

El protocolo NTLM es un protocolo de autenticación patentado de Windows que utiliza un sistema de desafío-respuesta para autenticar los inicios de sesión. El sistema NTLM prevalecía en las computadoras Windows más antiguas que no son miembros de un dominio de Active Directory.

Después del inicio del proceso de autenticación por parte del cliente, comienza un protocolo de enlace de tres vías entre el cliente y el servidor. El proceso comienza con el cliente enviando un mensaje especificando su nombre de cuenta y capacidades de cifrado. En consecuencia, el servidor responde con un nonce de 64 bits. Esta respuesta se denomina desafío. La respuesta del cliente está compuesta por este valor y su propia contraseña.

La seguridad que ofrece NTLM es inferior a la que ofrecen las versiones más recientes de otros protocolos de autenticación. Este protocolo de autenticación no utiliza un procedimiento tripartito. Como resultado, se considera menos seguro. Además, los inicios de sesión con tarjeta inteligente, la autenticación mutua, la delegación, etc., no se facilitan con este protocolo anterior.

¿Qué es Kerberos?

Kerberos es un protocolo de autenticación de Windows compatible con los últimos modelos lanzados por la marca. Es un protocolo basado en tickets que utilizan aquellas PC con Windows que ya son miembros de un dominio de Active Directory. La USP de este protocolo es que puede reducir efectivamente la cantidad total de contraseñas que necesita un usuario para acceder a la red a una sola.

Este protocolo de autenticación seguro, sofisticado y avanzado fue diseñado en MIT. Ha sido aceptado como el protocolo de autenticación estándar para todas las computadoras, desde el modelo Windows 2000 hasta otros modelos más recientes. Kerberos también incluye varias especificaciones formidables como la autenticación mutua y un inicio de sesión con tarjeta inteligente.

La garantía de seguridad del protocolo Kerberos es incomparable. Utiliza un tercero para autenticar los inicios de sesión. Esto garantiza una mayor seguridad y minimiza la vulnerabilidad de los datos confidenciales. Al operar a través de centros de datos centralizados, Kerberos garantiza una mayor estabilidad y seguridad.

Principales diferencias entre NTLM y Kerberos

  1. La principal diferencia entre NTLM y Kerberos es que NTLM es un protocolo de autenticación de Microsoft basado en desafíos y respuestas que se usa en los modelos más antiguos de Windows que no son miembros de un dominio de Active Directory, mientras que Kerberos es un protocolo de autenticación basado en tickets que se usa en los modelos más nuevos. variantes del modelo de Windows.
  2. Kerberos admite el inicio de sesión con tarjeta inteligente a través de un protocolo de autenticación de dos factores. NTLM no admite un inicio de sesión con tarjeta inteligente.
  3. En términos de seguridad, Kerberos tiene una ventaja sobre NTLM. NTLM es comparativamente menos seguro que Kerberos.
  4. La función de autenticación mutua está disponible con Kerberos. Por el contrario, NTLM no ofrece al usuario esta función de autenticación mutua.
  5. Si bien Kerberos admite tanto la delegación como la suplantación, NTLM solo admite la suplantación.
  6. El proceso de autenticación bajo el protocolo NTLM involucra al cliente y al servidor. Sin embargo, bajo el protocolo Kerberos, un tercero confiable está al tanto del proceso de autenticación.
  7. Los modelos anteriores de Windows utilizan el protocolo NTLM. Esto incluye versiones como Windows 95, Windows 98, NT 4.0, etc. El protocolo Kerberos está preinstalado en los modelos más nuevos como Microsoft Windows 2000, XP y otros modelos más recientes.

Conclusión

Tanto el protocolo NTLM como el Kerberos se basan en la estrategia de criptografía de clave simétrica y ambos son sistemas de autenticación sólidos y pertinentes. Los dos pueden parecer abrumadoramente similares para los usuarios novatos, sin embargo, la diferencia entre los dos es bastante notoria.

NTLM es un protocolo de autenticación basado en desafío-respuesta, mientras que Kerberos es un protocolo de autenticación basado en tickets. El primero se usa principalmente en los modelos más antiguos de Windows. Aunque Windows ha mantenido la compatibilidad con versiones anteriores de este protocolo, su uso se ha reducido significativamente a lo largo de los años.

Este cambio se atribuye en gran parte al desarrollo de protocolos más seguros y sofisticados como Kerberos. Kerberos ofrece funciones mejoradas, así como un escudo protector mejorado para el usuario.

Por lo tanto, en una elección comparativa entre los dos, el protocolo Kerberos más nuevo surge con un éxito unívoco. Incorpora algunas de las características modernas más codiciadas que se pueden desear en un protocolo de autenticación avanzado.

Referencias

  1. http://www.hjp.at/(en)/doc/rfc/rfc4559.html
x
2D vs 3D