Le processus d'authentification NTLM implique uniquement le client et le serveur IIS7. Cependant, dans le cadre du protocole Kerberos basé sur des tickets, un tiers de confiance est également au courant de ce processus d'authentification. Cette différence fondamentale entre les deux est encore mise en évidence par les autres dissemblances apparentes dans une analyse comparative.
NTLM contre Kerberos
La différence entre NTLM et Kerberos est que le premier est un protocole d'authentification basé sur un défi-réponse, tandis que le second est un protocole d'authentification basé sur un ticket. NTLM fait référence à un protocole d'authentification utilisé par les anciens modèles Windows qui ne sont pas membres d'un domaine Active Directory, tandis que Kerberos est essentiellement un protocole d'authentification basé sur des tickets utilisé dans les nouveaux modèles Windows qui sont membres d'un domaine Active Directory.
Tableau de comparaison entre NTLM et Kerberos
| Paramètres de comparaison | NTLM | Kerberos |
| Définition | NTLM est un protocole d'authentification Microsoft utilisé dans les anciens modèles Windows qui ne sont pas membres d'un domaine Active Directory. | Kerberos est un protocole d'authentification basé sur des tickets utilisé dans les derniers modèles Windows. Ces ordinateurs sont déjà membres d'un domaine Active Directory. |
| Processus d'authentification | Sous NTLM, le protocole d'authentification implique uniquement le client et le serveur IIS7. | Le protocole d'authentification Kerberos implique le client, le serveur ainsi qu'un partenaire de ticket tiers de confiance. Le tiers est généralement un contrôleur de domaine Active Directory. |
| Sécurité | NTLM est moins sécurisé que le protocole Kerberos. | Le protocole d'authentification Kerberos offre une protection renforcée aux utilisateurs. Il est nettement plus sûr que le protocole NTLM. |
| Authentification mutuelle | La fonction d'authentification mutuelle est absente de NTLM. | La fonction d'authentification mutuelle est incluse dans Kerberos. |
| Délégation et usurpation d'identité | La délégation n'est pas prise en charge par NTLM. Le protocole NTML prend uniquement en charge l'emprunt d'identité. | La délégation et l'emprunt d'identité sont tous deux pris en charge par Kerberos. |
| Connexion par carte à puce | Une connexion à deux facteurs par l'utilisation de cartes à puce n'est pas autorisée par les protocoles NTLM. | Une procédure de connexion à deux facteurs à l'aide d'une carte à puce est autorisée par le protocole Kerberos. |
| Compatibilité | NTLM est compatible avec les anciens modèles Windows, comme Windows 95, Windows 98, NT 4.0, etc. | Kerberos est compatible avec tous les derniers modèles Windows tels que Microsoft Windows 2000, XP et autres. |
Qu'est-ce que NTLM ?
Le protocole NTLM est un protocole d'authentification Windows propriétaire qui utilise un système de défi-réponse pour authentifier les connexions. Le système NTLM était répandu dans les anciens ordinateurs Windows qui ne sont pas membres d'un domaine Active Directory.
Après le lancement du processus d'authentification par le client, une négociation à trois entre le client et le serveur commence. Le processus commence par l'envoi par le client d'un message spécifiant son nom de compte et ses capacités de cryptage. Par conséquent, le serveur répond avec un nonce 64 bits. Cette réponse est appelée le défi. La réponse du client est composée de cette valeur et de son propre mot de passe.
La sécurité offerte par NTLM est inférieure à celles fournies par les nouvelles versions d'autres protocoles d'authentification. Ce protocole d'authentification n'utilise pas de procédure tripartite. En conséquence, il est jugé moins sûr. De plus, les connexions par carte à puce, l'authentification mutuelle, la délégation, etc. ne sont pas facilitées par cet ancien protocole.
Qu'est-ce que Kerberos ?
Kerberos est un protocole d'authentification Windows compatible avec les derniers modèles lancés par la marque. Il s'agit d'un protocole basé sur des tickets qui est utilisé par les PC Windows qui sont déjà membres d'un domaine Active Directory. L'USP de ce protocole est qu'il peut réduire efficacement le nombre total de mots de passe nécessaires à un utilisateur pour accéder au réseau à un seul.
Ce protocole d'authentification sécurisé, sophistiqué et avancé a été conçu au MIT. Il a été accepté comme protocole d'authentification standard pour tous les ordinateurs, du modèle Windows 2000 à d'autres modèles plus récents. Kerberos inclut également plusieurs spécifications formidables comme l'authentification mutuelle et une connexion par carte à puce.
L'assurance de sécurité du protocole Kerberos est inégalée. Il utilise un tiers pour authentifier les connexions. Cela garantit une sécurité renforcée et minimise la vulnérabilité des données confidentielles. En opérant via des centres de données centralisés, Kerberos garantit davantage de stabilité et de sécurité.
Principales différences entre NTLM et Kerberos
- La principale différence entre NTLM et Kerberos est que NTLM est un protocole d'authentification Microsoft basé sur une réponse à un défi qui est utilisé dans les anciens modèles Windows qui ne sont pas membres d'un domaine Active Directory, tandis que Kerberos est un protocole d'authentification basé sur un ticket utilisé dans les plus récents. variantes du modèle Windows.
- La connexion par carte à puce via un protocole d'authentification à deux facteurs est prise en charge par Kerberos. NTLM ne prend pas en charge l'ouverture de session par carte à puce.
- En termes de sécurité, Kerberos a un avantage sur NTLM. NTLM est comparativement moins sécurisé que Kerberos.
- La fonction d'authentification mutuelle est disponible avec Kerberos. Au contraire, NTLM n'offre pas à l'utilisateur cette fonctionnalité d'authentification mutuelle.
- Alors que Kerberos prend en charge à la fois la délégation et l'emprunt d'identité, NTLM prend uniquement en charge l'emprunt d'identité.
- Le processus d'authentification sous le protocole NTLM implique le client et le serveur. Cependant, sous le protocole Kerberos, un tiers fiable est au courant du processus d'authentification.
- Les modèles Windows antérieurs utilisent le protocole NTLM. Cela inclut des versions telles que Windows 95, Windows 98, NT 4.0, etc. Le protocole Kerberos est préinstallé sur les modèles plus récents tels que Microsoft Windows 2000, XP et les autres modèles les plus récents.
Conclusion
Les protocoles NTLM et Kerberos sont tous deux basés sur la stratégie de cryptographie à clé symétrique et tous deux sont des systèmes d'authentification forts et pertinents. Les deux peuvent sembler extrêmement similaires aux utilisateurs novices, cependant, la différence entre les deux est assez évidente.
NTLM est un protocole d'authentification basé sur un défi-réponse, tandis que Kerberos est un protocole d'authentification basé sur un ticket. Le premier est principalement utilisé dans les anciens modèles Windows. Bien que Windows ait maintenu une compatibilité descendante avec ce protocole, son utilisation a considérablement diminué au fil des ans.
Ce changement est largement attribué au développement de protocoles plus sécurisés et sophistiqués comme Kerberos. Kerberos offre des fonctionnalités améliorées ainsi qu'un bouclier de protection amélioré pour l'utilisateur.
Ainsi, dans un choix comparatif entre les deux, le nouveau protocole Kerberos émerge avec un succès incontestable. Il incarne certaines des fonctionnalités modernes les plus convoitées que l'on puisse désirer dans un protocole d'authentification avancé.
Les références
- http://www.hjp.at/(fr)/doc/rfc/rfc4559.html
