NTLM-Authentifizierung
Was ist NTLM-Authentifizierung?
NTLM-AuthentifizierungVeraltetes Windows-Challenge-Response-Protokoll, das die Identität anhand eines gespeicherten Passwort-Hashes nachweist und nach heutigen Maßstäben als schwach gilt.
NTLM (NT LAN Manager) ist eine Familie von Microsoft-Authentifizierungsprotokollen für Windows-Netze vor der Dominanz von Kerberos. Es nutzt einen Challenge-Response-Handshake auf Basis des NT-Hashes des Nutzers, ohne das Passwort jemals zu übertragen. Obwohl NTLM noch als Fallback eingesetzt wird, wenn Kerberos nicht verfügbar ist oder in Workgroup-Szenarien, ist es anfällig für Relay-Angriffe (NTLM Relay), Pass-the-Hash, Brute-Force gegen schwache Passwörter und Offline-Cracking erfasster Hashes. Microsoft betrachtet NTLM heute als Legacy und deaktiviert NTLMv1 schrittweise, reduziert die Abhängigkeit von NTLMv2 mittels SMB-Signing, Channel Binding, Extended Protection for Authentication und Kerberos-only-Konfigurationen.
● Beispiele
- 01
Ein Angreifer erfasst NTLMv2-Hashes über einen bösartigen SMB-Server und knackt sie offline mit hashcat.
- 02
NTLM-Relay über eine ungesignierte SMB-Session zur Authentifizierung an einem Domain-Controller.
● Häufige Fragen
Was ist NTLM-Authentifizierung?
Veraltetes Windows-Challenge-Response-Protokoll, das die Identität anhand eines gespeicherten Passwort-Hashes nachweist und nach heutigen Maßstäben als schwach gilt. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet NTLM-Authentifizierung?
Veraltetes Windows-Challenge-Response-Protokoll, das die Identität anhand eines gespeicherten Passwort-Hashes nachweist und nach heutigen Maßstäben als schwach gilt.
Wie schützt man sich gegen NTLM-Authentifizierung?
Schutzmaßnahmen gegen NTLM-Authentifizierung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für NTLM-Authentifizierung?
Übliche alternative Bezeichnungen: NTLM, NT LAN Manager.