NTLM

NTLM
Photo by Dip Devices / Unsplash

NT LAN Manager (NTLM) is een oud, maar nog steeds vaak gebruikt authenticatieprotocol dat wordt gebruikt in Windows-netwerken. Wanneer een gebruiker probeert in te loggen op een systeem, verandert het NTLM-protocol het wachtwoord van de gebruiker in een "hash" - een reeks tekens die het oorspronkelijke wachtwoord vertegenwoordigen, maar moeilijk terug te converteren zijn naar de oorspronkelijke vorm.

Echter, hoewel de NTLM-hash bedoeld is om de beveiliging te verbeteren door ervoor te zorgen dat het echte wachtwoord niet wordt overgedragen, heeft het enkele belangrijke beveiligingsproblemen:

  1. Het is vatbaar voor "pass-the-hash"-aanvallen. In een dergelijke aanval kan een aanvaller die de hash van een wachtwoord heeft verkregen, deze gebruiken om authenticatieverzoeken te doen zonder het werkelijke wachtwoord te kennen. Dit betekent dat als een aanvaller eenmaal een NTLM-hash heeft verkregen, ze veel van dezelfde toegangsprivileges kunnen krijgen als de oorspronkelijke gebruiker.
  2. NTLM-hashes zijn niet "gesalt", wat betekent dat ze kwetsbaar zijn voor rainbow table-aanvallen. Een "salt" is een willekeurige waarde die wordt toegevoegd aan een wachtwoord voordat het wordt gehasht, om ervoor te zorgen dat twee identieke wachtwoorden resulteren in verschillende hashes. Omdat NTLM dit niet doet, kan een aanvaller een "rainbow table" - een grote, voorgegenereerde tabel van hashes en hun bijbehorende wachtwoorden - gebruiken om de originele wachtwoorden te vinden.
  3. NTLM gebruikt een zwakkere hashing-algoritme, waardoor het sneller en gemakkelijker voor aanvallers is om de originele wachtwoorden te kraken.

Vanwege deze beveiligingsproblemen wordt over het algemeen aanbevolen om waar mogelijk modernere en veiligere authenticatieprotocollen zoals Kerberos te gebruiken, hoewel er vaak nog steeds legacy-systemen en -toepassingen zijn die NTLM vereisen.