กระบวนการตรวจสอบสิทธิ์ NTLM เกี่ยวข้องกับไคลเอ็นต์และเซิร์ฟเวอร์ IIS7 เท่านั้น อย่างไรก็ตาม ภายใต้โปรโตคอล Kerberos ที่อิงตามตั๋ว บุคคลที่สามที่เชื่อถือได้ก็มีสิทธิ์เข้าถึงกระบวนการตรวจสอบสิทธิ์นี้เช่นกัน ความแตกต่างที่สำคัญระหว่างทั้งสองนี้ถูกเน้นเพิ่มเติมโดยความแตกต่างอื่นๆ ที่ปรากฎในการวิเคราะห์เปรียบเทียบ
NTLM กับ Kerberos
ความแตกต่างระหว่าง NTLM และ Kerberos ก็คือ โปรโตคอลแรกเป็นโปรโตคอลการตรวจสอบสิทธิ์ตามการท้าทาย ในขณะที่อย่างหลังเป็นโปรโตคอลการตรวจสอบสิทธิ์แบบใช้ตั๋ว NTLM หมายถึงโปรโตคอลการตรวจสอบความถูกต้องที่ใช้โดย Windows รุ่นเก่าที่ไม่ใช่สมาชิกของโดเมน Active Directory ในขณะที่ Kerberos นั้นเป็นโปรโตคอลการตรวจสอบสิทธิ์แบบใช้ตั๋วที่ใช้ใน Windows รุ่นใหม่กว่าที่เป็นสมาชิกของโดเมน Active Directory
ตารางเปรียบเทียบระหว่าง NTLM และ Kerberos
พารามิเตอร์ของการเปรียบเทียบ | NTLM | Kerberos |
คำนิยาม | NTLM เป็นโปรโตคอลการตรวจสอบสิทธิ์ของ Microsoft ที่ใช้ใน Windows รุ่นเก่ากว่าที่ไม่ใช่สมาชิกของโดเมน Active Directory | Kerberos เป็นโปรโตคอลการตรวจสอบสิทธิ์แบบใช้ตั๋วที่ใช้ใน Windows รุ่นล่าสุด คอมพิวเตอร์เหล่านี้เป็นสมาชิกของโดเมน Active Directory แล้ว |
กระบวนการตรวจสอบสิทธิ์ | ภายใต้ NTLM โปรโตคอลการตรวจสอบสิทธิ์จะเกี่ยวข้องกับไคลเอ็นต์และเซิร์ฟเวอร์ IIS7 เท่านั้น | โปรโตคอลการตรวจสอบสิทธิ์ Kerberos เกี่ยวข้องกับไคลเอ็นต์ เซิร์ฟเวอร์ ตลอดจนพาร์ทเนอร์ตั๋วบุคคลที่สามที่เชื่อถือได้ บุคคลที่สามมักจะเป็นตัวควบคุมโดเมน Active Directory |
ความปลอดภัย | NTLM มีความปลอดภัยน้อยกว่าโปรโตคอล Kerberos | โปรโตคอลการตรวจสอบสิทธิ์ Kerberos ให้การป้องกันขั้นสูงแก่ผู้ใช้ ปลอดภัยกว่าโปรโตคอล NTLM อย่างมาก |
การตรวจสอบร่วมกัน | คุณลักษณะการรับรองความถูกต้องร่วมกันไม่มีอยู่ใน NTLM | คุณลักษณะการรับรองความถูกต้องร่วมกันจะรวมอยู่ใน Kerberos |
การมอบหมายและการแอบอ้างบุคคลอื่น | NTLM ไม่รองรับการมอบหมาย โปรโตคอล NTML รองรับการแอบอ้างบุคคลอื่นเท่านั้น | Kerberos รองรับทั้งการมอบหมายและการแอบอ้างบุคคลอื่น |
การเข้าสู่ระบบด้วยสมาร์ทการ์ด | การเข้าสู่ระบบแบบสองปัจจัยโดยการใช้สมาร์ทการ์ดไม่ได้รับอนุญาตโดยโปรโตคอล NTLM | ขั้นตอนการเข้าสู่ระบบแบบสองปัจจัยโดยใช้สมาร์ทการ์ดได้รับอนุญาตโดยโปรโตคอล Kerberos |
ความเข้ากันได้ | NTLM เข้ากันได้กับ Windows รุ่นเก่า เช่น Windows 95, Windows 98, NT 4.0 เป็นต้น | Kerberos เข้ากันได้กับ Windows รุ่นล่าสุดทั้งหมด เช่น Microsoft Windows 2000, XP และอื่นๆ |
NTLM คืออะไร?
โปรโตคอล NTLM เป็นโปรโตคอลการตรวจสอบสิทธิ์ของ Windows ที่เป็นกรรมสิทธิ์ซึ่งใช้ระบบตอบสนองต่อการท้าทายเพื่อตรวจสอบสิทธิ์การเข้าสู่ระบบ ระบบ NTLM แพร่หลายในคอมพิวเตอร์ Windows รุ่นเก่าที่ไม่ใช่สมาชิกของโดเมน Active Directory
หลังจากเริ่มต้นกระบวนการรับรองความถูกต้องโดยไคลเอนต์ การจับมือสามทางระหว่างไคลเอนต์และเซิร์ฟเวอร์เริ่มต้นขึ้น กระบวนการเริ่มต้นด้วยไคลเอนต์ส่งข้อความที่ระบุชื่อบัญชีและความสามารถในการเข้ารหัสของเขาหรือเธอ ดังนั้นเซิร์ฟเวอร์ตอบสนองด้วย nonce 64 บิต การตอบสนองนี้เรียกว่าเป็นความท้าทาย คำตอบของลูกค้าประกอบด้วยค่านี้และรหัสผ่านของตนเอง
ความปลอดภัยที่นำเสนอโดย NTLM นั้นด้อยกว่าที่มีให้โดยโปรโตคอลการพิสูจน์ตัวตนเวอร์ชันใหม่กว่า โปรโตคอลการตรวจสอบสิทธิ์นี้ไม่ใช้ขั้นตอนแบบสามฝ่าย ส่งผลให้มีความปลอดภัยน้อยลง นอกจากนี้ การเข้าสู่ระบบสมาร์ทการ์ด การตรวจสอบร่วมกัน การมอบหมาย ฯลฯ จะไม่อำนวยความสะดวกโดยโปรโตคอลรุ่นเก่านี้
Kerberos คืออะไร?
Kerberos เป็นโปรโตคอลการตรวจสอบหน้าต่างที่เข้ากันได้กับรุ่นล่าสุดที่แบรนด์เปิดตัว เป็นโปรโตคอลที่ใช้ตั๋วซึ่งใช้โดยพีซี Windows เหล่านั้นที่เป็นสมาชิกของโดเมน Active Directory อยู่แล้ว USP ของโปรโตคอลนี้คือสามารถลดจำนวนรหัสผ่านทั้งหมดที่ผู้ใช้ต้องการเพื่อเข้าถึงเครือข่ายได้อย่างมีประสิทธิภาพเหลือเพียงรหัสผ่านเดียว
โปรโตคอลการพิสูจน์ตัวตนที่ปลอดภัย ซับซ้อน และขั้นสูงนี้ได้รับการออกแบบที่ MIT ได้รับการยอมรับว่าเป็นโปรโตคอลการตรวจสอบสิทธิ์มาตรฐานสำหรับคอมพิวเตอร์ทุกเครื่อง ตั้งแต่รุ่น Windows 2000 ไปจนถึงรุ่นใหม่ล่าสุดอื่นๆ Kerberos ยังมีข้อกำหนดที่น่าเกรงขามหลายประการ เช่น การพิสูจน์ตัวตนร่วมกันและการเข้าสู่ระบบด้วยสมาร์ทการ์ด
การรับรองความปลอดภัยของโปรโตคอล Kerberos นั้นไม่มีใครเทียบได้ ใช้บุคคลที่สามเพื่อตรวจสอบสิทธิ์การเข้าสู่ระบบ สิ่งนี้ช่วยรับรองความปลอดภัยที่เพิ่มขึ้นและลดความเสี่ยงของข้อมูลที่เป็นความลับให้เหลือน้อยที่สุด ด้วยการทำงานผ่านศูนย์ข้อมูลแบบรวมศูนย์ Kerberos รับรองความเสถียรและความปลอดภัยเพิ่มเติม
ความแตกต่างหลักระหว่าง NTLM และ Kerberos
- ความแตกต่างหลัก ระหว่าง NTLM และ Kerberos คือ NTLM เป็นโปรโตคอลการตรวจสอบสิทธิ์ของ Microsoft ที่ใช้การตอบสนองต่อความท้าทายซึ่งใช้ใน Windows รุ่นเก่ากว่าที่ไม่ใช่สมาชิกของโดเมน Active Directory ในขณะที่ Kerberos เป็นโปรโตคอลการตรวจสอบสิทธิ์ตามตั๋วที่ใช้ในรุ่นใหม่กว่า รุ่นต่างๆ ของ Windows
- Kerberos รองรับการเข้าสู่ระบบสมาร์ทการ์ดผ่านโปรโตคอลการตรวจสอบสิทธิ์แบบสองปัจจัย NTLM ไม่รองรับการเข้าสู่ระบบด้วยสมาร์ทการ์ด
- ในแง่ของความปลอดภัย Kerberos มีความได้เปรียบเหนือ NTLM NTLM มีความปลอดภัยน้อยกว่า Kerberos
- คุณลักษณะการพิสูจน์ตัวตนร่วมกันสามารถใช้ได้กับ Kerberos ตรงกันข้าม NTLM ไม่ได้เสนอคุณสมบัติการตรวจสอบร่วมกันนี้ให้กับผู้ใช้
- แม้ว่า Kerberos จะสนับสนุนทั้งการมอบสิทธิ์และการแอบอ้างบุคคลอื่น NTLM ก็สนับสนุนเฉพาะการแอบอ้างบุคคลอื่นเท่านั้น
- กระบวนการรับรองความถูกต้องภายใต้โปรโตคอล NTLM เกี่ยวข้องกับไคลเอนต์และเซิร์ฟเวอร์ อย่างไรก็ตาม ภายใต้โพรโทคอล Kerberos บุคคลที่สามที่เชื่อถือได้จะได้รับสิทธิ์ในกระบวนการตรวจสอบสิทธิ์
- Windows รุ่นก่อนหน้าใช้โปรโตคอล NTLM ซึ่งรวมถึงเวอร์ชันต่างๆ เช่น Windows 95, Windows 98, NT 4.0 เป็นต้น โปรโตคอล Kerberos ได้รับการติดตั้งล่วงหน้าในรุ่นใหม่กว่า เช่น Microsoft Windows 2000, XP และรุ่นล่าสุดอื่นๆ
บทสรุป
ทั้งโปรโตคอล NTLM และ Kerberos นั้นใช้กลยุทธ์การเข้ารหัสคีย์แบบสมมาตร และทั้งคู่ต่างก็เป็นระบบการพิสูจน์ตัวตนที่แข็งแกร่งและตรงประเด็น ทั้งสองอาจดูเหมือนผู้ใช้มือใหม่อย่างท่วมท้น แต่ความแตกต่างระหว่างทั้งสองค่อนข้างชัดเจน
NTLM เป็นโปรโตคอลการตรวจสอบสิทธิ์ตามการท้าทายในขณะที่ Kerberos เป็นโปรโตคอลการตรวจสอบสิทธิ์ตามตั๋ว อดีตส่วนใหญ่จะใช้ใน Windows รุ่นเก่ากว่า แม้ว่า Windows จะรักษาความเข้ากันได้แบบย้อนหลังกับโปรโตคอลนี้ แต่การใช้งานก็ลดลงอย่างมากในช่วงหลายปีที่ผ่านมา
การเปลี่ยนแปลงนี้ส่วนใหญ่มาจากการพัฒนาโปรโตคอลที่มีความปลอดภัยและซับซ้อนมากขึ้น เช่น Kerberos Kerberos นำเสนอคุณสมบัติที่ได้รับการปรับปรุงรวมถึงเกราะป้องกันที่ได้รับการปรับปรุงสำหรับผู้ใช้
ดังนั้น ในทางเลือกที่เปรียบเทียบระหว่างทั้งสอง โปรโตคอล Kerberos ที่ใหม่กว่าจึงประสบความสำเร็จอย่างไม่มีหลักฐาน รวบรวมคุณลักษณะที่ทันสมัยที่สุดบางอย่างที่ใคร ๆ ก็ปรารถนาในโปรโตคอลการพิสูจน์ตัวตนขั้นสูง
อ้างอิง
- http://www.hjp.at/(en)/doc/rfc/rfc4559.html