Proces uwierzytelniania NTLM obejmuje wyłącznie klienta i serwer IIS7. Jednak zgodnie z protokołem Kerberos opartym na biletach zaufana strona trzecia jest również wtajemniczona w ten proces uwierzytelniania. Ta zasadnicza różnica między nimi jest dodatkowo podkreślona przez inne różnice widoczne w analizie porównawczej.
NTLM kontra Kerberos
Różnica między NTLM i Kerberos polega na tym, że pierwszy jest protokołem uwierzytelniania opartym na odpowiedzi na wyzwanie, podczas gdy drugi jest protokołem uwierzytelniania opartym na biletach. NTLM odnosi się do protokołu uwierzytelniania używanego przez starsze modele systemu Windows, które nie są członkami domeny Active Directory, podczas gdy Kerberos jest zasadniczo protokołem uwierzytelniania opartym na biletach, używanym w nowszych modelach systemu Windows, które są członkami domeny Active Directory.
Tabela porównawcza między NTLM i Kerberos
| Parametry porównania | NTLM | Kerberos |
| Definicja | NTLM to protokół uwierzytelniania firmy Microsoft używany w starszych modelach systemu Windows, które nie są członkami domeny usługi Active Directory. | Kerberos to oparty na biletach protokół uwierzytelniania używany w najnowszych modelach systemu Windows. Te komputery są już członkami domeny Active Directory. |
| Proces uwierzytelniania | W NTLM protokół uwierzytelniania obejmuje wyłącznie klienta i serwer IIS7. | Protokół uwierzytelniania Kerberos obejmuje klienta, serwer, a także zaufanego partnera biletowego innej firmy. Strona trzecia jest zwykle kontrolerem domeny Active Directory. |
| Bezpieczeństwo | NTLM jest mniej bezpieczny niż protokół Kerberos. | Protokół uwierzytelniania Kerberos zapewnia użytkownikom zwiększoną ochronę. Jest znacznie bezpieczniejszy niż protokół NTLM. |
| Wzajemne uwierzytelnianie | Funkcja wzajemnego uwierzytelniania jest nieobecna w NTLM. | Funkcja wzajemnego uwierzytelniania jest zawarta w Kerberos. |
| Delegacja i personifikacja | Delegowanie nie jest obsługiwane przez NTLM. Protokół NTML obsługuje wyłącznie personifikację. | Kerberos obsługuje zarówno delegowanie, jak i personifikację. |
| Logowanie za pomocą karty inteligentnej | Logowanie dwuskładnikowe przy użyciu kart inteligentnych nie jest dozwolone przez protokoły NTLM. | Protokół Kerberos zezwala na dwuskładnikową procedurę logowania przy użyciu karty inteligentnej. |
| Zgodność | NTLM jest kompatybilny ze starszymi modelami Windows, takimi jak Windows 95, Windows 98, NT 4.0 itp. | Kerberos jest kompatybilny ze wszystkimi najnowszymi modelami Windows, takimi jak Microsoft Windows 2000, XP i innymi. |
Co to jest NTLM?
Protokół NTLM jest zastrzeżonym protokołem uwierzytelniania systemu Windows, który wykorzystuje system typu wyzwanie-odpowiedź do uwierzytelniania logowania. System NTLM był powszechny na starszych komputerach z systemem Windows, które nie są członkami domeny Active Directory.
Po zainicjowaniu procesu uwierzytelniania przez klienta rozpoczyna się trójstronne uzgadnianie między klientem a serwerem. Proces rozpoczyna się od wysłania przez klienta wiadomości określającej nazwę swojego konta i możliwości szyfrowania. W konsekwencji serwer odpowiada 64-bitową wartością jednorazową. Ta odpowiedź nazywana jest wyzwaniem. Odpowiedź klienta składa się z tej wartości i jego własnego hasła.
Bezpieczeństwo oferowane przez NTLM jest gorsze od tych zapewnianych przez nowsze wersje innych protokołów uwierzytelniania. Ten protokół uwierzytelniania nie korzysta z procedury trójstronnej. W rezultacie jest uważany za mniej bezpieczny. Co więcej, logowanie za pomocą kart inteligentnych, wzajemne uwierzytelnianie, delegowanie itp. nie są ułatwiane przez ten starszy protokół.
Co to jest Kerberos?
Kerberos to protokół uwierzytelniania systemu Windows, który jest kompatybilny z najnowszymi modelami wprowadzonymi przez markę. Jest to protokół oparty na biletach, który jest używany przez te komputery z systemem Windows, które są już członkami domeny Active Directory. USP tego protokołu polega na tym, że może skutecznie zmniejszyć całkowitą liczbę haseł potrzebnych użytkownikowi do uzyskania dostępu do sieci do tylko jednego.
Ten bezpieczny, wyrafinowany i zaawansowany protokół uwierzytelniania został zaprojektowany w MIT. Został przyjęty jako standardowy protokół uwierzytelniania dla wszystkich komputerów — od modelu Windows 2000 po inne nowsze modele. Kerberos zawiera również kilka niesamowitych specyfikacji, takich jak wzajemne uwierzytelnianie i logowanie za pomocą karty inteligentnej.
Gwarancja bezpieczeństwa protokołu Kerberos nie ma sobie równych. Używa strony trzeciej do uwierzytelniania logowania. Zapewnia to większe bezpieczeństwo i minimalizuje podatność poufnych danych. Działając za pośrednictwem scentralizowanych centrów danych, Kerberos zapewnia dalszą stabilność i bezpieczeństwo.
Główne różnice między NTLM a Kerberos
- Główna różnica między NTLM i Kerberos polega na tym, że NTLM jest protokołem uwierzytelniania Microsoft opartym na odpowiedzi na wyzwanie, który jest używany w starszych modelach systemu Windows, które nie są członkami domeny Active Directory, podczas gdy Kerberos jest protokołem uwierzytelniania opartym na biletach używanym w nowszych warianty modelu Windows.
- Kerberos obsługuje logowanie za pomocą karty inteligentnej za pośrednictwem protokołu uwierzytelniania dwuskładnikowego. NTLM nie obsługuje logowania za pomocą karty inteligentnej.
- Pod względem bezpieczeństwa Kerberos ma przewagę nad NTLM. NTLM jest porównywalnie mniej zabezpieczony niż Kerberos.
- Funkcja wzajemnego uwierzytelniania jest dostępna w Kerberos. W przeciwieństwie do tego, NTLM nie oferuje użytkownikowi tej funkcji wzajemnego uwierzytelniania.
- Podczas gdy Kerberos obsługuje zarówno delegowanie, jak i personifikację, NTLM obsługuje tylko personifikację.
- Proces uwierzytelniania w protokole NTLM obejmuje klienta i serwer. Jednak w ramach protokołu Kerberos niezawodna strona trzecia jest wtajemniczona w proces uwierzytelniania.
- Wcześniejsze modele systemu Windows używają protokołu NTLM. Obejmuje to wersje takie jak Windows 95, Windows 98, NT 4.0 itp. Protokół Kerberos jest preinstalowany w nowszych modelach, takich jak Microsoft Windows 2000, XP i inne najnowsze modele.
Wniosek
Oba protokoły NTLM i Kerberos są oparte na strategii kryptografii z kluczem symetrycznym i oba są silnymi, adekwatnymi systemami uwierzytelniania. Oba mogą wydawać się bardzo podobne do początkujących użytkowników, jednak różnica między nimi jest dość rzucająca się w oczy.
NTLM to protokół uwierzytelniania oparty na wyzwaniach i odpowiedzi, podczas gdy Kerberos to protokół uwierzytelniania oparty na biletach. Ten pierwszy jest używany głównie w starszych modelach Windows. Chociaż system Windows zachował wsteczną kompatybilność z tym protokołem, jego użycie znacznie się zmniejszyło na przestrzeni lat.
Ta zmiana jest w dużej mierze przypisywana rozwojowi bardziej bezpiecznych i wyrafinowanych protokołów, takich jak Kerberos. Kerberos oferuje ulepszone funkcje, a także ulepszoną osłonę ochronną dla użytkownika.
Tak więc w przypadku porównania między tymi dwoma, nowszy protokół Kerberos okazuje się jednoznacznie udany. Zawiera jedne z najbardziej pożądanych nowoczesnych funkcji, których można oczekiwać od zaawansowanego protokołu uwierzytelniania.
Bibliografia
- http://www.hjp.at/(en)/doc/rfc/rfc4559.html
