CyberGlossary

Identidade e acesso

Autenticação NTLM

Também conhecido como: NTLM, NT LAN Manager

Definição

Protocolo legado de autenticação do Windows do tipo desafio-resposta que prova a identidade através do hash da palavra-passe, hoje considerado fraco.

O NTLM (NT LAN Manager) é uma família de protocolos de autenticação da Microsoft concebidos para redes Windows antes da generalização do Kerberos. Usa um handshake desafio-resposta baseado no hash NT do utilizador, sem nunca transmitir a palavra-passe. Embora ainda seja utilizado como fallback quando o Kerberos não está disponível ou em cenários workgroup, o NTLM é vulnerável a ataques de relay (NTLM Relay), pass-the-hash, força bruta sobre palavras-passe fracas e cracking offline de hashes capturados. A Microsoft classifica-o como legado e está a desativar progressivamente o NTLMv1, reduzindo a dependência do NTLMv2 com assinatura SMB, channel binding, Extended Protection for Authentication e configurações exclusivamente Kerberos.

Exemplos

  • Um atacante captura hashes NTLMv2 através de um servidor SMB malicioso e parte-os offline com hashcat.
  • Relay NTLM através de uma sessão SMB sem assinatura para autenticar-se num controlador de domínio.

Termos relacionados