Diferença entre NTLM e Kerberos (com tabela)

O processo de autenticação NTLM envolve apenas o cliente e o servidor IIS7. No entanto, sob o protocolo Kerberos baseado em tíquete, um terceiro confiável também tem acesso a esse processo de autenticação. Essa diferença seminal entre os dois é destacada ainda pelas outras diferenças aparentes em uma análise comparativa.

NTLM vs Kerberos

A diferença entre NTLM e Kerberos é que o primeiro é um protocolo de autenticação baseado em desafio-resposta, enquanto o último é um protocolo de autenticação baseado em ticket. NTLM se refere a um protocolo de autenticação usado pelos modelos mais antigos do Windows que não são membros de um domínio do Active Directory, enquanto o Kerberos é essencialmente um protocolo de autenticação baseado em tíquete usado nos modelos mais novos do Windows que são membros de um domínio do Active Directory.

Tabela de comparação entre NTLM e Kerberos

Parâmetros de comparaçãoNTLMKerberos
DefiniçãoNTLM é um protocolo de autenticação da Microsoft usado nos modelos mais antigos do Windows que não são membros de um domínio do Active Directory.Kerberos é um protocolo de autenticação baseado em tíquete usado nos modelos mais recentes do Windows. Esses computadores já são membros de um domínio do Active Directory.
Processo de AutenticaçãoNo NTLM, o protocolo de autenticação envolve apenas o cliente e o servidor IIS7.O protocolo de autenticação Kerberos envolve o cliente, o servidor e também um parceiro de tíquete terceirizado confiável. O terceiro geralmente é um controlador de domínio do Active Directory.
SegurançaO NTLM é menos seguro do que o protocolo Kerberos.O protocolo de autenticação Kerberos oferece proteção aprimorada aos usuários. É significativamente mais seguro do que o protocolo NTLM.
Autenticação MútuaO recurso de autenticação mútua está ausente do NTLM.O recurso de autenticação mútua está incluído no Kerberos.
Delegação e roubo de identidadeA delegação não é suportada pelo NTLM. O protocolo NTML oferece suporte apenas à representação.Tanto a delegação quanto a representação são suportadas pelo Kerberos.
Smartcard LogonUm login de dois fatores pelo uso de cartões inteligentes não é permitido pelos protocolos NTLM.Um procedimento de login de dois fatores usando um cartão inteligente é permitido pelo protocolo Kerberos.
CompatibilidadeNTLM é compatível com os modelos mais antigos do Windows, como Windows 95, Windows 98, NT 4.0, etc.Kerberos é compatível com todos os modelos mais recentes do Windows, como Microsoft Windows 2000, XP e outros.

O que é NTLM?

O protocolo NTLM é um protocolo de autenticação do Windows proprietário que usa um sistema de resposta de desafio para autenticar logins. O sistema NTLM prevalecia nos computadores Windows mais antigos que não eram membros de um domínio do Active Directory.

Após o início do processo de autenticação pelo cliente, um handshake de três vias entre o cliente e o servidor é iniciado. O processo começa com o cliente enviando uma mensagem especificando seu nome de conta e recursos de criptografia. Conseqüentemente, o servidor responde com um nonce de 64 bits. Essa resposta é denominada desafio. A resposta do cliente é composta por este valor e sua própria senha.

A segurança oferecida pelo NTLM é inferior àquelas fornecidas pelas versões mais recentes de outros protocolos de autenticação. Este protocolo de autenticação não usa um procedimento tri-party. Como resultado, é considerado menos seguro. Além disso, logons de smartcard, autenticação mútua, delegação, etc. não são facilitados por este protocolo mais antigo.

O que é Kerberos?

Kerberos é um protocolo de autenticação do Windows compatível com os modelos mais recentes lançados pela marca. É um protocolo baseado em tíquete usado por PCs com Windows que já são membros de um domínio do Active Directory. O USP deste protocolo é que ele pode efetivamente reduzir o número total de senhas necessárias para um usuário acessar a rede para apenas uma.

Este protocolo de autenticação seguro, sofisticado e avançado foi desenvolvido no MIT. Ele foi aceito como o protocolo de autenticação padrão para todos os computadores - desde o modelo Windows 2000 até outros modelos mais recentes. O Kerberos também inclui várias especificações formidáveis, como autenticação mútua e logon com cartão inteligente.

A garantia de segurança do protocolo Kerberos é incomparável. Ele usa um terceiro para autenticar os logins. Isso garante maior segurança e minimiza a vulnerabilidade de dados confidenciais. Operando por meio de data centers centralizados, o Kerberos garante mais estabilidade e segurança.

Principais diferenças entre NTLM e Kerberos

  1. A principal diferença entre o NTLM e o Kerberos é que o NTLM é um protocolo de autenticação da Microsoft baseado em resposta de desafio que é usado nos modelos mais antigos do Windows que não são membros de um domínio do Active Directory, enquanto o Kerberos é um protocolo de autenticação baseado em tíquete usado no mais recente variantes do modelo Windows.
  2. O logon com cartão inteligente por meio de um protocolo de autenticação de dois fatores é compatível com o Kerberos. O NTLM não oferece suporte para logon com cartão inteligente.
  3. Em termos de segurança, o Kerberos tem uma vantagem sobre o NTLM. O NTLM é comparativamente menos seguro do que o Kerberos.
  4. O recurso de autenticação mútua está disponível com Kerberos. Ao contrário, o NTLM não oferece ao usuário esse recurso de autenticação mútua.
  5. Embora o Kerberos ofereça suporte à delegação e à representação, o NTLM só oferece suporte à representação.
  6. O processo de autenticação sob o protocolo NTLM envolve o cliente e o servidor. No entanto, sob o protocolo Kerberos, um terceiro confiável tem acesso ao processo de autenticação.
  7. Os modelos anteriores do Windows usam o protocolo NTLM. Isso inclui versões como Windows 95, Windows 98, NT 4.0, etc. O protocolo Kerberos é pré-instalado nos modelos mais recentes, como Microsoft Windows 2000, XP e outros modelos mais recentes.

Conclusão

Os protocolos NTLM e Kerberos são baseados na estratégia de criptografia de chave simétrica e ambos são sistemas de autenticação fortes e pertinentes. Os dois podem parecer muito semelhantes para usuários novatos, no entanto, a diferença entre os dois é bastante evidente.

NTLM é um protocolo de autenticação baseado em desafio-resposta, enquanto Kerberos é um protocolo de autenticação baseado em tíquete. O primeiro é usado principalmente nos modelos mais antigos do Windows. Embora o Windows tenha mantido compatibilidade com este protocolo, seu uso foi reduzido significativamente ao longo dos anos.

Essa mudança é amplamente atribuída ao desenvolvimento de protocolos mais seguros e sofisticados como o Kerberos. O Kerberos oferece recursos aprimorados, bem como um escudo protetor aprimorado para o usuário.

Assim, em uma escolha comparativa entre os dois, o protocolo Kerberos mais recente surge com sucesso univocamente. Ele incorpora alguns dos recursos modernos mais cobiçados que se podem desejar em um protocolo de autenticação avançado.

Referências

  1. http://www.hjp.at/(en)/doc/rfc/rfc4559.html
x
2D vs 3D