NTLM

NTLM (kurz für NT LAN Manager) ist ein Authentifizierungsverfahren für Rechnernetze. Es verwendet eine Challenge-Response-Authentifizierung.

Durch den Einsatz von NTLM über HTTP ist ein Single Sign-on auf Webservern oder Proxyservern unter Verwendung des Berechtigungsnachweises (Credentials) der Windows-Benutzeranmeldung möglich.

NTLM war ursprünglich ein proprietäres Protokoll des Unternehmens Microsoft und daher fast ausschließlich in Produkten dieses Herstellers implementiert. Dank Reverse Engineering unterstützen jedoch beispielsweise auch Samba, Squid, Mozilla Firefox, cURL, Opera und der Apache HTTP Server dieses Protokoll. Anfang 2007 hat Microsoft seine Spezifikation auf Druck der Vereinigten Staaten und der Europäischen Union veröffentlicht.^[1]

Der Vorgänger des NTLM-Protokolls ist LM (LAN Manager), das schon im Betriebssystem OS/2 zum Einsatz kam. NTLM behob das Problem, dass lange Passwörter angreifbarer als kurze Passwörter sein konnten.^[2] Aufgrund weiterer Sicherheitsprobleme wurde NTLMv2 entwickelt und die frühere Version fortan NTLMv1 genannt. Auch in NTLMv2 sind Sicherheitsprobleme bekannt: Responses können abgefangen werden, um Replay-Angriffe auf den Server und Reflection-Angriffe auf den Client durchzuführen.^[3]

Eine Authentifizierung über NTLM beginnt damit, dass der Client den Benutzernamen an den Server sendet.^[4] Der Server sendet daraufhin als Challenge eine Zufallszahl an den Client. Der Client sendet als Response die mit dem Hashwert des Benutzerpassworts verschlüsselte Zufallszahl zurück. Der Server verschlüsselt ebenfalls die Zufallszahl mit dem Hashwert des Benutzerpassworts, vergleicht die beiden Ergebnisse und bestätigt bei Übereinstimmung die Authentifizierung.

Eine Alternative zu NTLM ist das Protokoll Kerberos, das auch unter Windows seit der Einführung des Active Directory mit Windows 2000 standardmäßig zum Einsatz kommt.^[5] Wenn eine Authentifizierung mittels Kerberos nicht möglich ist, wird aber automatisch NTLM verwendet.^[6] Den Port für NTLM wählt Windows in der Grundeinstellung dynamisch.^[7]

Secure Password Authentication, kurz SPA, nennt Microsoft die Authentifizierung über NTLM für Microsoft Exchange Server.

Einzelnachweise

1. ↑ NT LAN Manager (NTLM) Authentication Protocol Specification. Microsoft. Abgerufen am 17. August 2010.
2. ↑ How to disable LM authentication on Windows NT. Microsoft. Abgerufen am 17. August 2010.
3. ↑ Authentifizierung unter Windows: Ein schwelendes Sicherheitsproblem. Verlag Heinz Heise (16. August 2010). Abgerufen am 17. August 2010.
4. ↑ Microsoft NTLM. Microsoft. Abgerufen am 17. August 2010.
5. ↑ Kerberos and Windows 2000. TechGenix. Abgerufen am 17. August 2010.
6. ↑ Kerberos im LOCAL SYSTEM Kontext und NTLM Fallback. Microsoft (12. April 2010). Abgerufen am 17. August 2010.
7. ↑ How Interactive Logon Works. Microsoft. Abgerufen am 17. August 2010.

Weblinks

• NTLM Authentication Scheme for HTTP (englisch)
• The NTLM Authentication Protocol and Security Support Provider (englisch)