NTLM kimlik doğrulama işlemi yalnızca istemciyi ve IIS7 sunucusunu içerir. Ancak, bilet tabanlı Kerberos protokolü kapsamında, güvenilir bir üçüncü taraf da bu kimlik doğrulama sürecinden haberdardır. İkisi arasındaki bu temel fark, karşılaştırmalı bir analizde görülen diğer farklılıklar tarafından daha da vurgulanır.
NTLM ve Kerberos
NTLM ve Kerberos arasındaki fark, birincisinin sorgulamaya dayalı bir kimlik doğrulama protokolü olması, ikincisinin ise bilet tabanlı bir kimlik doğrulama protokolü olmasıdır. NTLM, Active Directory etki alanının üyesi olmayan eski Windows modelleri tarafından kullanılan bir kimlik doğrulama protokolüne atıfta bulunurken, Kerberos esasen bir Active Directory etki alanının üyesi olan daha yeni Windows modellerinde kullanılan bilet tabanlı bir kimlik doğrulama protokolüdür.
NTLM ve Kerberos Arasındaki Karşılaştırma Tablosu
| Karşılaştırma Parametreleri | NTLM | Kerberos |
| Tanım | NTLM, Active Directory etki alanının üyesi olmayan eski Windows modellerinde kullanılan bir Microsoft kimlik doğrulama protokolüdür. | Kerberos, en son Windows modellerinde kullanılan bilet tabanlı bir kimlik doğrulama protokolüdür. Bu bilgisayarlar zaten bir Active Directory etki alanının üyesidir. |
| Kimlik Doğrulama Süreci | NTLM altında, kimlik doğrulama protokolü yalnızca istemciyi ve IIS7 sunucusunu içerir. | Kerberos kimlik doğrulama protokolü, istemciyi, sunucuyu ve ayrıca güvenilir bir üçüncü taraf bilet ortağını içerir. Üçüncü taraf genellikle bir Active Directory etki alanı denetleyicisidir. |
| Güvenlik | NTLM, Kerberos protokolünden daha az güvenlidir. | Kerberos kimlik doğrulama protokolü, kullanıcılara gelişmiş koruma sağlar. NTLM protokolünden önemli ölçüde daha güvenlidir. |
| Karşılıklı kimlik doğrulama | NTLM'de karşılıklı kimlik doğrulama özelliği yoktur. | Kerberos'ta karşılıklı kimlik doğrulama özelliği bulunmaktadır. |
| Yetkilendirme ve Kimliğe Bürünme | Yetkilendirme NTLM tarafından desteklenmez. NTML protokolü yalnızca kimliğe bürünmeyi destekler. | Hem yetkilendirme hem de kimliğe bürünme Kerberos tarafından desteklenir. |
| Akıllı Kart Oturum Açma | NTLM protokolleri, akıllı kartların kullanımıyla iki faktörlü oturum açmaya izin vermez. | Kerberos protokolü, akıllı kart kullanarak iki faktörlü oturum açma prosedürüne izin verir. |
| uyumluluk | NTLM, Windows 95, Windows 98, NT 4.0 vb. gibi eski Windows modelleriyle uyumludur. | Kerberos, Microsoft Windows 2000, XP ve diğerleri gibi en yeni Windows modellerinin tümü ile uyumludur. |
NTLM nedir?
NTLM protokolü, oturum açmaların kimliğini doğrulamak için bir sorgulama-yanıt sistemi kullanan tescilli bir Windows kimlik doğrulama protokolüdür. NTLM sistemi, Active Directory etki alanının üyesi olmayan eski Windows bilgisayarlarında yaygındı.
İstemci tarafından kimlik doğrulama işleminin başlatılmasından sonra, istemci ile sunucu arasında üç yönlü bir el sıkışma başlar. İşlem, müşterinin hesap adını ve şifreleme yeteneklerini belirten bir mesaj göndermesiyle başlar. Sonuç olarak, sunucu 64-bit nonce ile yanıt verir. Bu yanıt meydan okuma olarak adlandırılır. İstemcinin yanıtı bu değerden ve kendi parolasından oluşur.
NTLM tarafından sunulan güvenlik, diğer kimlik doğrulama protokollerinin daha yeni sürümleri tarafından sağlananlardan daha düşüktür. Bu kimlik doğrulama protokolü, üç taraflı bir prosedür kullanmaz. Sonuç olarak, daha az güvenli olarak kabul edilir. Ayrıca, akıllı kart oturum açma işlemleri, karşılıklı kimlik doğrulama, yetkilendirme vb. bu eski protokol tarafından kolaylaştırılmaz.
Kerberos nedir?
Kerberos, markanın piyasaya sürdüğü en son modellerle uyumlu bir Pencere kimlik doğrulama protokolüdür. Halihazırda bir Active Directory etki alanının üyesi olan Windows PC'ler tarafından kullanılan bilet tabanlı bir protokoldür. Bu protokolün USP'si, bir kullanıcının ağa erişmek için ihtiyaç duyduğu toplam şifre sayısını etkili bir şekilde yalnızca bir taneye indirebilmesidir.
Bu güvenli, karmaşık ve gelişmiş kimlik doğrulama protokolü MIT'de tasarlanmıştır. Windows 2000 modelinden daha yeni modellere kadar tüm bilgisayarlar için standart kimlik doğrulama protokolü olarak kabul edilmiştir. Kerberos ayrıca karşılıklı kimlik doğrulama ve akıllı kart oturum açma gibi birkaç zorlu özellik içerir.
Kerberos protokolünün güvenlik güvencesi eşsizdir. Oturum açmaların kimliğini doğrulamak için üçüncü bir taraf kullanır. Bu, gelişmiş güvenlik sağlar ve gizli verilerin güvenlik açığını en aza indirir. Kerberos, merkezi veri merkezleri aracılığıyla çalışarak daha fazla istikrar ve güvenlik sağlar.
NTLM ve Kerberos Arasındaki Temel Farklar
- NTLM ve Kerberos arasındaki temel fark, NTLM'nin Active Directory etki alanının üyesi olmayan eski Windows modellerinde kullanılan, sorgulamaya dayalı bir Microsoft kimlik doğrulama protokolü olması, Kerberos'un ise daha yenisinde kullanılan bilet tabanlı bir kimlik doğrulama protokolü olmasıdır. Windows modelinin çeşitleri.
- İki faktörlü kimlik doğrulama protokolü aracılığıyla akıllı kart oturum açma işlemi Kerberos tarafından desteklenir. NTLM, akıllı kart oturum açmayı desteklemez.
- Güvenlik açısından Kerberos'un NTLM'ye göre bir üstünlüğü var. NTLM, Kerberos'tan nispeten daha az güvenlidir.
- Kerberos ile karşılıklı kimlik doğrulama özelliği mevcuttur. Aksine, NTLM, kullanıcıya bu karşılıklı kimlik doğrulama özelliğini sunmaz.
- Kerberos hem yetkilendirmeyi hem de kimliğe bürünmeyi desteklerken, NTLM yalnızca kimliğe bürünmeyi destekler.
- NTLM protokolü altındaki kimlik doğrulama işlemi, istemciyi ve sunucuyu içerir. Ancak, Kerberos protokolü kapsamında, güvenilir bir üçüncü taraf, kimlik doğrulama sürecinden haberdardır.
- Önceki Windows modelleri NTLM protokolünü kullanır. Bu, Windows 95, Windows 98, NT 4.0 vb. gibi sürümleri içerir. Kerberos protokolü, Microsoft Windows 2000, XP ve diğer en yeni modeller gibi daha yeni modellere önceden yüklenmiştir.
Çözüm
Hem NTLM hem de Kerberos protokolleri, simetrik anahtar şifreleme stratejisine dayanır ve her ikisi de güçlü, ilgili kimlik doğrulama sistemleridir. İkisi acemi kullanıcılara ezici bir şekilde benzer görünebilir, ancak ikisi arasındaki fark oldukça belirgindir.
NTLM, sorgulamaya dayalı bir kimlik doğrulama protokolüdür, Kerberos ise bilet tabanlı bir kimlik doğrulama protokolüdür. İlki, çoğunlukla eski Windows modellerinde kullanılır. Windows bu protokolle geriye dönük uyumluluğunu korumuş olsa da, kullanımı yıllar içinde önemli ölçüde azaldı.
Bu değişiklik büyük ölçüde Kerberos gibi daha güvenli ve karmaşık protokollerin geliştirilmesine bağlanıyor. Kerberos, kullanıcı için gelişmiş özelliklerin yanı sıra geliştirilmiş bir koruyucu kalkan sunar.
Böylece, ikisi arasında karşılaştırmalı bir seçim yapıldığında, daha yeni Kerberos protokolü tek anlamlı olarak başarılı olur. Gelişmiş bir kimlik doğrulama protokolünde istenebilecek en imrenilen modern özelliklerden bazılarını bünyesinde barındırır.
Referanslar
- http://www.hjp.at/(en)/doc/rfc/rfc4559.html
