ID とアクセス
NTLM 認証
別称: NTLM, NT LAN マネージャー
定義
保存されたパスワードハッシュからユーザー身元を証明する Windows 旧来のチャレンジ・レスポンス認証プロトコルで、現代の基準では弱いと評価されている。
NTLM(NT LAN Manager)は、Kerberos が主流となる前の Windows ネットワーク向けに Microsoft が設計した認証プロトコル群です。ユーザーの NT ハッシュに基づくチャレンジ・レスポンス方式を用い、パスワード自体を送信しません。Kerberos が利用できないときのフォールバックやワークグループ環境ではいまも使われますが、NTLM はリレー攻撃(NTLM Relay)、pass-the-hash、弱いパスワードへの総当たり、捕捉ハッシュのオフラインクラックに脆弱です。Microsoft は現在 NTLM をレガシー扱いとし、NTLMv1 を段階的に無効化、SMB 署名・チャネルバインディング・Extended Protection for Authentication・Kerberos のみ構成により NTLMv2 依存も削減しています。
例
- 攻撃者が悪意ある SMB サーバーで NTLMv2 ハッシュを収集し、hashcat でオフラインクラックする。
- 署名なし SMB セッションを介して NTLM リレーを行い、ドメインコントローラーに認証する。
関連用語
Kerberos
対称鍵暗号と信頼された鍵配布センターを用いたチケットベースのネットワーク認証プロトコルで、サービス横断のシングルサインオンを安全に実現する。
Active Directory
Active Directory — definition coming soon.
認証
アクセス権を与える前に、利用者・端末・サービスが本当に名乗っているとおりの実体であることを確認するプロセス。
Password
Password — definition coming soon.
レインボーテーブル攻撃
ハッシュ関数と還元関数を交互に並べたチェーンを圧縮テーブルに保存し、ソルトなしハッシュを総当たりよりはるかに速く逆引きする事前計算攻撃。
認証情報窃取マルウェア
感染システムやそのメモリからパスワード、ハッシュ、認証トークンを取り出すことに特化したマルウェア。