Authentification NTLM

Aussi appelé: NTLM, NT LAN Manager

Protocole d'authentification Windows historique de type défi-réponse qui prouve l'identité de l'utilisateur via un hash de mot de passe, désormais jugé faible.

NTLM (NT LAN Manager) est une famille de protocoles d'authentification Microsoft conçus pour les réseaux Windows avant la généralisation de Kerberos. Il utilise un échange défi-réponse fondé sur le hash NT de l'utilisateur, sans jamais transmettre le mot de passe. Bien que conservé en repli quand Kerberos n'est pas disponible ou en scénarios groupe de travail, NTLM est vulnérable aux attaques par relais (NTLM Relay), au pass-the-hash, à la force brute sur mots de passe faibles et au cassage hors ligne des hashes capturés. Microsoft le classe désormais comme legacy et désactive progressivement NTLMv1 tout en réduisant la dépendance à NTLMv2 via la signature SMB, le channel binding, Extended Protection for Authentication et des configurations Kerberos-only.

Exemples

Un attaquant capture des hashes NTLMv2 via un serveur SMB malveillant et les casse hors ligne avec hashcat.
Relais NTLM via une session SMB non signée pour s'authentifier auprès d'un contrôleur de domaine.

Authentification NTLM

Exemples

Termes liés

Kerberos

Active Directory