Microsoft ha anunciado que planea eliminar NT LAN Manager ( NTLM ) en Windows 11 en el futuro, ya que recurre a métodos alternativos de autenticación y refuerzo de la seguridad.
«La atención se centra en fortalecer el protocolo de autenticación Kerberos, que ha sido el predeterminado desde 2000, y reducir la dependencia de NT LAN Manager (NTLM)», dijo el gigante tecnológico. «Las nuevas funciones para Windows 11 incluyen autenticación inicial y de paso mediante Kerberos (IAKerb) y un centro de distribución de claves local ( KDC ) para Kerberos».
IAKerb permite a los clientes autenticarse con Kerberos en una amplia gama de topologías de red. La segunda característica, un Centro de distribución de claves (KDC) local para Kerberos, extiende el soporte de Kerberos a las cuentas locales.
Introducido por primera vez en la década de 1990, NTLM es un conjunto de protocolos de seguridad destinados a proporcionar autenticación, integridad y confidencialidad a los usuarios. Es una herramienta de inicio de sesión único (SSO) que se basa en un protocolo de desafío-respuesta que demuestra a un servidor o controlador de dominio que un usuario conoce la contraseña asociada con una cuenta.
Desde entonces, ha sido reemplazado por otro protocolo de autenticación llamado Kerberos desde el lanzamiento de Windows 2000, aunque NTLM continúa utilizándose como mecanismo alternativo.
«La principal diferencia entre NTLM y Kerberos está en cómo ambos protocolos gestionan la autenticación. NTLM se basa en un protocolo de enlace de tres vías entre el cliente y el servidor para autenticar a un usuario», señala CrowdStrike . «Kerberos utiliza un proceso de dos partes que aprovecha un servicio de concesión de tickets o un centro de distribución de claves».
Otra distinción crucial es que, mientras NTLM se basa en el hash de contraseñas, Kerberos aprovecha el cifrado.
Además de las debilidades de seguridad inherentes de NTLM , la tecnología se ha vuelto vulnerable a ataques de retransmisión , lo que potencialmente permite a los malos actores interceptar intentos de autenticación y obtener acceso no autorizado a los recursos de la red.
Microsoft dijo que también está trabajando para abordar las instancias NTLM codificadas en sus componentes en preparación para el cambio que finalmente deshabilitará NTLM en Windows 11, y agregó que está realizando mejoras que fomentan el uso de Kerberos en lugar de NTLM.
«Todos estos cambios estarán habilitados de forma predeterminada y no requerirán configuración para la mayoría de los escenarios», dijo Matthew Palko, líder senior de gestión de productos de Microsoft en Empresa y Seguridad. «NTLM seguirá estando disponible como alternativa para mantener la compatibilidad existente».
Fuente y redacción: thehackernews.com
