NTLM-todennusprosessissa ovat mukana vain asiakas ja IIS7-palvelin. Lippupohjaisen Kerberos-protokollan mukaan myös luotettava kolmas osapuoli on kuitenkin tietoinen tästä todennusprosessista. Tätä merkittävää eroa näiden kahden välillä korostavat edelleen muut vertailevassa analyysissä ilmenevät erot.
NTLM vs Kerberos
Ero NTLM:n ja Kerberosin välillä on, että edellinen on haaste-vastauspohjainen todennusprotokolla, kun taas jälkimmäinen on lippupohjainen todennusprotokolla. NTLM viittaa todennusprotokollaan, jota käyttävät vanhemmat Windows-mallit, jotka eivät ole Active Directory -toimialueen jäseniä, kun taas Kerberos on pääosin lippupohjainen todennusprotokolla, jota käytetään uudemmissa Windows-malleissa, jotka ovat Active Directory -toimialueen jäseniä.
Vertailutaulukko NTLM:n ja Kerberosin välillä
| Vertailuparametrit | NTLM | Kerberos |
| Määritelmä | NTLM on Microsoftin todennusprotokolla, jota käytetään vanhemmissa Windows-malleissa, jotka eivät ole Active Directory -toimialueen jäseniä. | Kerberos on lippupohjainen todennusprotokolla, jota käytetään uusimmissa Windows-malleissa. Nämä tietokoneet ovat jo Active Directory -toimialueen jäseniä. |
| Todennusprosessi | NTLM:ssä todennusprotokollassa ovat mukana vain asiakas ja IIS7-palvelin. | Kerberos-todennusprotokolla sisältää asiakkaan, palvelimen sekä luotettavan kolmannen osapuolen lippukumppanin. Kolmas osapuoli on yleensä Active Directory -toimialueen ohjain. |
| Turvallisuus | NTLM on vähemmän suojattu kuin Kerberos-protokolla. | Kerberos-todennusprotokolla tarjoaa käyttäjille parannetun suojan. Se on huomattavasti turvallisempi kuin NTLM-protokolla. |
| Keskinäinen todennus | Keskinäinen todennusominaisuus puuttuu NTLM:stä. | Kerberosiin sisältyy keskinäinen todennusominaisuus. |
| Delegointi ja toisena henkilönä esiintyminen | NTLM ei tue delegointia. NTML-protokolla tukee vain toisena henkilönä esiintymistä. | Kerberos tukee sekä delegointia että toisena henkilönä esiintymistä. |
| Älykortin sisäänkirjautuminen | NTLM-protokollat eivät salli kaksivaiheista sisäänkirjautumista älykorttien avulla. | Kerberos-protokolla sallii kaksivaiheisen sisäänkirjautumisen älykortin avulla. |
| Yhteensopivuus | NTLM on yhteensopiva vanhempien Windows-mallien kanssa, kuten Windows 95, Windows 98, NT 4.0 jne. | Kerberos on yhteensopiva kaikkien uusimpien Windows-mallien, kuten Microsoft Windows 2000, XP ja muiden kanssa. |
Mikä on NTLM?
NTLM-protokolla on Windows-todennusprotokolla, joka käyttää sisäänkirjautumisten todentamiseen haaste-vastausjärjestelmää. NTLM-järjestelmä oli yleinen vanhemmissa Windows-tietokoneissa, jotka eivät ole Active Directory -toimialueen jäseniä.
Kun asiakas on aloittanut todennusprosessin, kolmisuuntainen kättely asiakkaan ja palvelimen välillä alkaa. Prosessi alkaa siitä, että asiakas lähettää viestin, jossa määritellään hänen tilinsä ja salausominaisuudet. Tämän seurauksena palvelin vastaa 64-bittisellä nollauksella. Tätä vastausta kutsutaan haasteeksi. Asiakkaan vastaus koostuu tästä arvosta ja hänen omasta salasanastaan.
NTLM:n tarjoama suojaus on huonompi kuin muiden todennusprotokollien uudempi versio. Tämä todennusprotokolla ei käytä kolmen osapuolen menettelyä. Tämän seurauksena sitä pidetään vähemmän turvallisena. Lisäksi tämä vanhempi protokolla ei helpota älykorttien kirjautumisia, keskinäistä todennusta, delegointia jne.
Mikä on Kerberos?
Kerberos on Window-todennusprotokolla, joka on yhteensopiva brändin uusimpien mallien kanssa. Se on lippupohjainen protokolla, jota käyttävät ne Windows-tietokoneet, jotka ovat jo Active Directory -toimialueen jäseniä. Tämän protokollan USP on, että se voi tehokkaasti vähentää salasanojen kokonaismäärää, jonka käyttäjä tarvitsee päästäkseen verkkoon vain yhteen.
Tämä turvallinen, hienostunut ja edistynyt todennusprotokolla on suunniteltu MIT:ssä. Se on hyväksytty vakiotodennusprotokollaksi kaikille tietokoneille - Windows 2000 -mallista muihin uudempiin malleihin. Kerberos sisältää myös useita mahtavia teknisiä tietoja, kuten keskinäinen todennus ja älykorttikirjautuminen.
Kerberos-protokollan turvatakuu on vertaansa vailla. Se käyttää kolmatta osapuolta kirjautumisten todentamiseen. Tämä varmistaa paremman turvallisuuden ja minimoi luottamuksellisten tietojen haavoittuvuuden. Toimimalla keskitettyjen datakeskusten kautta Kerberos varmistaa lisää vakautta ja turvallisuutta.
Tärkeimmät erot NTLM:n ja Kerberosin välillä
- Suurin ero NTLM:n ja Kerberosin välillä on, että NTLM on haaste-vastauspohjainen Microsoft-todennusprotokolla, jota käytetään vanhemmissa Windows-malleissa, jotka eivät ole Active Directory -toimialueen jäseniä, kun taas Kerberos on lippupohjainen todennusprotokolla, jota käytetään uudemmissa. Windows-mallin muunnelmia.
- Kerberos tukee älykorttikirjautumista kaksivaiheisen todennusprotokollan kautta. NTLM ei tue älykorttikirjautumista.
- Turvallisuuden suhteen Kerberosilla on etulyöntiasema NTLM:ään nähden. NTLM on verrattain vähemmän suojattu kuin Kerberos.
- Keskinäinen todennusominaisuus on saatavilla Kerberosin kanssa. Sitä vastoin NTLM ei tarjoa käyttäjälle tätä molemminpuolista todennusominaisuutta.
- Vaikka Kerberos tukee sekä delegointia että toisena henkilönä esiintymistä, NTLM tukee vain toisena henkilönä esiintymistä.
- NTLM-protokollan mukaiseen todennusprosessiin osallistuvat asiakas ja palvelin. Kerberos-protokollan mukaan luotettava kolmas osapuoli on kuitenkin suojattu todennusprosessilla.
- Aiemmat Windows-mallit käyttävät NTLM-protokollaa. Tämä sisältää versiot, kuten Windows 95, Windows 98, NT 4.0 jne. Kerberos-protokolla on esiasennettu uudempiin malleihin, kuten Microsoft Windows 2000, XP ja muihin uusimpiin malleihin.
Johtopäätös
Sekä NTLM- että Kerberos-protokollat perustuvat symmetrisen avaimen salausstrategiaan, ja molemmat ovat vahvoja, asianmukaisia todennusjärjestelmiä. Nämä kaksi voivat tuntua ylivoimaisesti samanlaisilta aloitteleville käyttäjille, mutta ero näiden kahden välillä on varsin näkyvä.
NTLM on haaste-vastauspohjainen todennusprotokolla, kun taas Kerberos on lippupohjainen todennusprotokolla. Ensin mainittua käytetään enimmäkseen vanhemmissa Windows-malleissa. Vaikka Windows on säilyttänyt taaksepäin yhteensopivuuden tämän protokollan kanssa, sen käyttö on vähentynyt merkittävästi vuosien mittaan.
Tämä muutos johtuu suurelta osin turvallisempien ja kehittyneempien protokollien, kuten Kerberos, kehityksestä. Kerberos tarjoaa parannettuja ominaisuuksia sekä parannetun suojakilven käyttäjälle.
Siten näiden kahden välillä tehdyssä vertailussa uudempi Kerberos-protokolla osoittautuu yksiselitteisesti onnistuneeksi. Se sisältää joitain halutuimmista moderneista ominaisuuksista, joita voi haluta edistyneessä todennusprotokollassa.
Viitteet
- http://www.hjp.at/(en)/doc/rfc/rfc4559.html
