O processo de autenticação NTLM envolve apenas o cliente e o servidor IIS7. No entanto, no protocolo Kerberos baseado em tíquete, um terceiro confiável também tem acesso a esse processo de autenticação. Essa diferença seminal entre os dois é destacada ainda pelas outras diferenças aparentes em uma análise comparativa.
NTLM vs Kerberos
A diferença entre NTLM e Kerberos é que o primeiro é um protocolo de autenticação baseado em desafio-resposta, enquanto o último é um protocolo de autenticação baseado em ticket. NTLM se refere a um protocolo de autenticação usado pelos modelos mais antigos do Windows que não são membros de um domínio do Active Directory, enquanto o Kerberos é essencialmente um protocolo de autenticação baseado em tíquete usado nos modelos mais novos do Windows que são membros de um domínio do Active Directory.
Tabela de comparação entre NTLM e Kerberos
| Parâmetros de comparação | NTLM | Kerberos |
| Definição | NTLM é um protocolo de autenticação da Microsoft usado nos modelos mais antigos do Windows que não são membros de um domínio do Active Directory. | Kerberos é um protocolo de autenticação baseado em tíquete usado nos modelos mais recentes do Windows. Esses computadores já são membros de um domínio do Active Directory. |
| Processo de Autenticação | No NTLM, o protocolo de autenticação envolve apenas o cliente e o servidor IIS7. | O protocolo de autenticação Kerberos envolve o cliente, o servidor e também um parceiro de tíquete terceirizado confiável. O terceiro geralmente é um controlador de domínio do Active Directory. |
| Segurança | O NTLM é menos seguro do que o protocolo Kerberos. | O protocolo de autenticação Kerberos oferece proteção aprimorada aos usuários. É significativamente mais seguro do que o protocolo NTLM. |
| Autenticação Mútua | O recurso de autenticação mútua está ausente do NTLM. | O recurso de autenticação mútua está incluído no Kerberos. |
| Delegação e roubo de identidade | A delegação não é suportada pelo NTLM. O protocolo NTML oferece suporte apenas à representação. | Tanto a delegação quanto a representação são suportadas pelo Kerberos. |
| Smartcard Logon | Um login de dois fatores pelo uso de cartões inteligentes não é permitido pelos protocolos NTLM. | Um procedimento de login de dois fatores usando um cartão inteligente é permitido pelo protocolo Kerberos. |
| Compatibilidade | NTLM é compatível com os modelos mais antigos do Windows, como Windows 95, Windows 98, NT 4.0, etc. | Kerberos é compatível com todos os modelos mais recentes do Windows, como Microsoft Windows 2000, XP e outros. |
O que é NTLM?
O protocolo NTLM é um protocolo de autenticação do Windows proprietário que usa um sistema de resposta de desafio para autenticar logins. O sistema NTLM prevalecia nos computadores Windows mais antigos que não eram membros de um domínio do Active Directory.
Após o início do processo de autenticação pelo cliente, um handshake de três vias entre o cliente e o servidor é iniciado. O processo começa com o cliente enviando uma mensagem especificando seu nome de conta e recursos de criptografia. Conseqüentemente, o servidor responde com um nonce de 64 bits. Essa resposta é chamada de desafio. A resposta do cliente é composta por este valor e sua própria senha.
A segurança oferecida pelo NTLM é inferior àquelas fornecidas pelas versões mais recentes de outros protocolos de autenticação. Este protocolo de autenticação não usa um procedimento tri-party. Como resultado, é considerado menos seguro. Além disso, logons de smartcard, autenticação mútua, delegação, etc. não são facilitados por este protocolo mais antigo.
O que é Kerberos?
Kerberos é um protocolo de autenticação do Windows compatível com os modelos mais recentes lançados pela marca. É um protocolo baseado em tíquete usado por PCs com Windows que já são membros de um domínio do Active Directory. O USP desse protocolo é que ele pode reduzir efetivamente o número total de senhas necessárias para um usuário acessar a rede para apenas uma.
Este protocolo de autenticação seguro, sofisticado e avançado foi desenvolvido no MIT. Ele foi aceito como o protocolo de autenticação padrão para todos os computadores - desde o modelo Windows 2000 até outros modelos mais recentes. O Kerberos também inclui várias especificações formidáveis, como autenticação mútua e logon com cartão inteligente.
A garantia de segurança do protocolo Kerberos é incomparável. Ele usa um terceiro para autenticar os logins. Isso garante maior segurança e minimiza a vulnerabilidade de dados confidenciais. Operando por meio de centros de dados centralizados, o Kerberos garante mais estabilidade e segurança.
Principais diferenças entre NTLM e Kerberos
- A principal diferença entre o NTLM e o Kerberos é que o NTLM é um protocolo de autenticação da Microsoft baseado em resposta de desafio que é usado nos modelos mais antigos do Windows que não são membros de um domínio do Active Directory, enquanto o Kerberos é um protocolo de autenticação baseado em tíquete usado no mais recente variantes do modelo Windows.
- O logon com cartão inteligente por meio de um protocolo de autenticação de dois fatores é compatível com o Kerberos. O NTLM não oferece suporte para logon com cartão inteligente.
- Em termos de segurança, o Kerberos tem uma vantagem sobre o NTLM. O NTLM é comparativamente menos seguro do que o Kerberos.
- O recurso de autenticação mútua está disponível com Kerberos. Ao contrário, o NTLM não oferece ao usuário esse recurso de autenticação mútua.
- Embora o Kerberos ofereça suporte à delegação e à representação, o NTLM só oferece suporte à representação.
- O processo de autenticação sob o protocolo NTLM envolve o cliente e o servidor. No entanto, sob o protocolo Kerberos, um terceiro confiável tem acesso ao processo de autenticação.
- Os modelos anteriores do Windows usam o protocolo NTLM. Isso inclui versões como Windows 95, Windows 98, NT 4.0, etc. O protocolo Kerberos é pré-instalado nos modelos mais recentes, como Microsoft Windows 2000, XP e outros modelos mais recentes.
Conclusão
Os protocolos NTLM e Kerberos são baseados na estratégia de criptografia de chave simétrica e ambos são sistemas de autenticação fortes e pertinentes. Os dois podem parecer muito semelhantes para usuários novatos, no entanto, a diferença entre os dois é bastante evidente.
NTLM é um protocolo de autenticação baseado em desafio-resposta, enquanto Kerberos é um protocolo de autenticação baseado em tíquete. O primeiro é usado principalmente nos modelos mais antigos do Windows. Embora o Windows tenha mantido compatibilidade com versões anteriores com este protocolo, seu uso foi reduzido significativamente ao longo dos anos.
Essa mudança é amplamente atribuída ao desenvolvimento de protocolos mais seguros e sofisticados, como o Kerberos. O Kerberos oferece recursos aprimorados, bem como um escudo protetor aprimorado para o usuário.
Assim, em uma escolha comparativa entre os dois, o protocolo Kerberos mais recente surge com sucesso univocamente. Ele incorpora alguns dos recursos modernos mais cobiçados que se podem desejar em um protocolo de autenticação avançado.
Referências
- http://www.hjp.at/(en)/doc/rfc/rfc4559.html
