الفرق بين NTLM و Kerberos (مع الجدول)

تتضمن عملية مصادقة NTLM العميل وخادم IIS7 فقط. ومع ذلك ، بموجب بروتوكول Kerberos المستند إلى البطاقة ، يكون طرف ثالث موثوق به أيضًا مطلعاً على عملية المصادقة هذه. يتم إبراز هذا الاختلاف الأساسي بين الاثنين بشكل أكبر من خلال الاختلافات الأخرى الواضحة في التحليل المقارن.

NTLM مقابل Kerberos

يتمثل الاختلاف بين NTLM و Kerberos في أن الأول هو بروتوكول مصادقة قائم على الاستجابة للتحدي ، بينما الأخير عبارة عن بروتوكول مصادقة قائم على التذاكر. يشير NTLM إلى بروتوكول المصادقة الذي تستخدمه طرز Windows الأقدم التي ليست أعضاء في مجال Active Directory ، بينما Kerberos هو أساسًا بروتوكول مصادقة قائم على التذاكر يُستخدم في طرازات Windows الأحدث التي هي أعضاء في مجال Active Directory.

جدول المقارنة بين NTLM و Kerberos

معلمات المقارنة	NTLM	كيربيروس
تعريف	NTLM هو بروتوكول مصادقة Microsoft يتم استخدامه في نماذج Windows الأقدم التي ليست أعضاء في مجال Active Directory.	Kerberos هو بروتوكول مصادقة قائم على التذاكر يُستخدم في أحدث طرازات Windows. تعد أجهزة الكمبيوتر هذه أعضاء بالفعل في مجال Active Directory.
عملية المصادقة	ضمن NTLM ، يتضمن بروتوكول المصادقة العميل وخادم IIS7 فقط.	يتضمن بروتوكول مصادقة Kerberos العميل والخادم بالإضافة إلى شريك تذاكر طرف ثالث موثوق به. عادةً ما يكون الطرف الثالث وحدة تحكم مجال Active Directory.
حماية	NTLM أقل أمانًا من بروتوكول Kerberos.	يوفر بروتوكول مصادقة Kerberos حماية محسنة للمستخدمين. إنه أكثر أمانًا بشكل ملحوظ من بروتوكول NTLM.
المصادقة المتبادلة	ميزة المصادقة المتبادلة غير موجودة في NTLM.	يتم تضمين ميزة المصادقة المتبادلة في Kerberos.
التفويض وانتحال الهوية	التفويض غير مدعوم من قبل NTLM. يدعم بروتوكول NTML انتحال الهوية فقط.	يتم دعم كل من التفويض وانتحال الهوية بواسطة Kerberos.
تسجيل الدخول بالبطاقة الذكية	لا تسمح بروتوكولات NTLM بتسجيل الدخول ثنائي العاملين باستخدام البطاقات الذكية.	يسمح بروتوكول Kerberos بإجراء تسجيل دخول ثنائي باستخدام البطاقة الذكية.
التوافق	NTLM متوافق مع طرز Windows الأقدم ، مثل Windows 95 و Windows 98 و NT 4.0 وما إلى ذلك.	Kerberos متوافق مع أحدث طرازات Windows مثل Microsoft Windows 2000 و XP وغيرها.

ما هو NTLM؟

بروتوكول NTLM هو بروتوكول مصادقة Windows خاص يستخدم نظام استجابة التحدي لمصادقة عمليات تسجيل الدخول. كان نظام NTLM سائدًا في أجهزة الكمبيوتر القديمة التي تعمل بنظام Windows والتي ليست أعضاء في مجال Active Directory.

بعد بدء عملية المصادقة من قبل العميل ، تبدأ مصافحة ثلاثية بين العميل والخادم. تبدأ العملية بإرسال العميل رسالة تحدد اسم حسابه وإمكانيات التشفير. وبالتالي ، يستجيب الخادم بـ 64 بت nonce. هذا الرد يسمى التحدي. يتكون رد العميل من هذه القيمة وكلمة المرور الخاصة به.

الأمان الذي توفره NTLM أقل شأناً من الأمان الذي توفره الإصدارات الأحدث من بروتوكولات المصادقة الأخرى. لا يستخدم بروتوكول المصادقة هذا إجراء ثلاثي الأطراف. نتيجة لذلك ، يعتبر أقل أمانًا. علاوة على ذلك ، لا يتم تسهيل عمليات تسجيل الدخول إلى البطاقة الذكية ، والمصادقة المتبادلة ، والتفويض ، وما إلى ذلك بواسطة هذا البروتوكول القديم.

ما هو Kerberos؟

Kerberos هو بروتوكول مصادقة Window متوافق مع أحدث الموديلات التي أطلقتها العلامة التجارية. وهو بروتوكول قائم على التذاكر يتم استخدامه بواسطة أجهزة الكمبيوتر الشخصية التي تعمل بنظام Windows والتي هي بالفعل أعضاء في مجال Active Directory. تتمثل USP لهذا البروتوكول في أنه يمكن أن يقلل بشكل فعال العدد الإجمالي لكلمات المرور التي يحتاجها المستخدم للوصول إلى الشبكة إلى كلمة مرور واحدة فقط.

تم تصميم بروتوكول المصادقة الآمن والمتطور والمتقدم هذا في معهد ماساتشوستس للتكنولوجيا. لقد تم قبوله باعتباره بروتوكول المصادقة القياسي لجميع أجهزة الكمبيوتر - مباشرة من طراز Windows 2000 إلى الطرز الأخرى الأكثر حداثة. يتضمن Kerberos أيضًا العديد من المواصفات الهائلة مثل المصادقة المتبادلة وتسجيل دخول البطاقة الذكية.

ضمان أمان بروتوكول Kerberos لا مثيل له. يستخدم طرفًا ثالثًا لمصادقة عمليات تسجيل الدخول. هذا يضمن سلامة معززة ويقلل من ضعف البيانات السرية. من خلال العمل من خلال مراكز البيانات المركزية ، يضمن Kerberos مزيدًا من الاستقرار والأمان.

الاختلافات الرئيسية بين NTLM و Kerberos

1. يتمثل الاختلاف الرئيسي بين NTLM و Kerberos في أن NTLM عبارة عن بروتوكول مصادقة Microsoft قائم على التحدي والاستجابة يتم استخدامه في نماذج Windows الأقدم التي ليست أعضاء في مجال Active Directory ، بينما Kerberos هو بروتوكول مصادقة قائم على بطاقة مستخدمة في الإصدار الأحدث المتغيرات من طراز Windows.
2. يدعم Kerberos تسجيل الدخول إلى البطاقة الذكية من خلال بروتوكول المصادقة الثنائي. لا يدعم NTLM تسجيل دخول البطاقة الذكية.
3. من حيث الأمان ، يتمتع Kerberos بميزة على NTLM. NTLM أقل أمانًا نسبيًا من Kerberos.
4. ميزة المصادقة المتبادلة متاحة مع Kerberos. على العكس من ذلك ، لا تقدم NTLM للمستخدم ميزة المصادقة المتبادلة هذه.
5. بينما يدعم Kerberos كلاً من التفويض وانتحال الهوية ، يدعم NTLM فقط الانتحال.
6. تتضمن عملية المصادقة بموجب بروتوكول NTLM العميل والخادم. ومع ذلك ، بموجب بروتوكول Kerberos ، يكون الطرف الثالث الموثوق به مطلعاً على عملية المصادقة.
7. تستخدم طرازات Windows السابقة بروتوكول NTLM. يتضمن ذلك إصدارات مثل Windows 95 و Windows 98 و NT 4.0 وما إلى ذلك. بروتوكول Kerberos مثبت مسبقًا على الطرز الأحدث مثل Microsoft Windows 2000 و XP وأحدث الطرز الأخرى.

استنتاج

يعتمد كل من بروتوكولي NTLM و Kerberos على إستراتيجية تشفير المفتاح المتماثل وكلاهما يعتبران أنظمة مصادقة قوية وذات صلة. قد يبدو الاثنان متشابهين إلى حد كبير مع المستخدمين المبتدئين ، ومع ذلك ، فإن الفرق بين الاثنين واضح تمامًا.

NTLM هو بروتوكول مصادقة قائم على التحدي ، بينما Kerberos هو بروتوكول مصادقة قائم على التذاكر. يستخدم الأول في الغالب في نماذج Windows الأقدم. على الرغم من أن Windows قد حافظ على التوافق مع هذا البروتوكول ، فقد انخفض استخدامه بشكل كبير على مر السنين.

يُعزى هذا التغيير إلى حد كبير إلى تطوير البروتوكولات الأكثر أمانًا وتعقيدًا مثل Kerberos. يقدم Kerberos ميزات محسّنة بالإضافة إلى درع حماية محسّن للمستخدم.

وبالتالي ، في الاختيار المقارن بين الاثنين ، يظهر بروتوكول Kerberos الأحدث ناجحًا بشكل أحادي. إنه يجسد بعضًا من أكثر الميزات الحديثة المرغوبة التي يمكن للمرء أن يرغب فيها في بروتوكول مصادقة متقدم.

مراجع

1. http://www.hjp.at/(en)/doc/rfc/rfc4559.html