Es bastante frecuente ver novedades de Microsoft con las que esperan mejorar la seguridad al navegar por Internet, usar Windows y otros servicios de la compañía. En este caso, nos hacemos eco del último cambio que planean realizar con el que quieren eliminar NTLM en favor de Kerberos. El objetivo es poder llevar a cabo una autenticación más segura y evitar así riesgos de seguridad que pueda haber. Mantener una buena protección, siempre es el objetivo del gigante del software.
Pero, ¿qué es esto de NTLM? Son las siglas de NT LAN Manager. Básicamente, es una serie de protocolos de seguridad de Microsoft que sirven para autenticar y dar integridad a los usuarios. Utiliza tres mensajes para esa autenticación de un cliente y un cuarto mensaje para poder tener integridad.
Microsoft prescinde de NTLM
NTLM surgió a principios de los 90 como una serie de protocolos de seguridad para poder proporcionar esa autenticación e integridad que mencionamos. Actúa como una herramienta de inicio de sesión único que sirve para demostrar que un usuario en concreto, conoce la contraseña asociada a una cuenta, por medio de un servidor. Esta novedad no pilla demasiado por sorpresa. Lo cierto es que hace ya más de una década que desde Microsoft dejaron de recomendar el uso de NTLM para aplicaciones. Sin embargo, ha estado presente hasta su última versión, Windows 11. Ahora planea eliminarlo, un paso lógico si tenemos en cuenta esta recomendación que mencionamos.
Ahora bien, ¿qué podemos utilizar en su lugar? Lo que buscan con esto es fortalecer el protocolo de autenticación de Kerberos. No es tampoco una novedad, ya que ha sido el predeterminado desde el año 2000, coincidiendo con el lanzamiento de Windows 2000. Buscan dejar a un lado NTLM y así potenciar el uso de Kerberos. De hecho, desde la compañía indican que las nuevas funciones para Windows 11, ya incluyen autenticación inicial y de paso a través de Kerberos (IAKerb).
Lo que permite IAKerb es que los clientes puedan autenticarse a través de Kerberos en diferentes topologías de red. También hay que mencionar KDC, que son las siglas de Key Distribution Center, y que permite extender el soporte de Kerberos también a las cuentas locales.
Diferencias
Si has llegado hasta aquí, puede que te preguntes qué diferencias, en definitiva, hay entre Kerberos y NTLM. La principal podemos decir que es el cómo gestionan ambos protocolos la autenticación. Podemos decir que el primero, Kerberos, se basa en un proceso de dos partes en el que va a aprovechar un servicio de concesión de tickets o un centro de distribución de claves. En cambio, NTLM utiliza un protocolo de enlace de tres vías entre el cliente y el servidor correspondiente. Ambos, a su manera, buscan autenticar a un usuario.
Pero también hay otra diferencia importante que hay que indicar. Kerberos va a aprovechar el cifrado para esa autenticación, mientras que NTLM lo que hace es basarse en el hash de contraseñas. Hay, por tanto, otra diferencia más a tener en cuenta cuando comparamos estas dos opciones. Hay que hacer mención, también, a los cambios propios del paso del tiempo. NTLM, como hemos explicado, es anterior a Kerberos. Eso hace que, hoy en día, cuente con vulnerabilidades de seguridad. La tecnología que utiliza ha quedado obsoleta y potencialmente puede ser un problema al ser más sencillo que un intruso logre obtener acceso no autorizado.
En definitiva, Microsoft da un paso más para mejorar la seguridad de su sistema. En esta ocasión, se trata de eliminar el protocolo NTLM. Quieren potenciar el uso de Kerberos, que ya estaba disponible desde hace bastantes años. El objetivo es, una vez más, aumentar la protección y disminuir el riesgo de ataques e intrusos. Igual que puedes activar o desactivar Microsoft Defender, puedes hacerlo con muchos servicios de este sistema operativo.
Está claro que el uso de Kerberos en lugar de NTLM es un paso muy importante y lógico para Microsoft, en los últimos años han estado quitando protocolos antiguos de su sistema operativo Windows 10 y Windows 11, con el objetivo de proteger a sus usuarios lo máximo posible. Por ejemplo, Microsoft en las últimas versiones de Windows ya no dispone de soporte para SMB 1.0, un protocolo que no es seguro de utilizar ya que hay fallos de seguridad bastante graves, los cuales se han corregido en los protocolos siguientes. Si quieres usar SMB 1.0 tendrás que activarlo de forma manual y correr con el riesgo que ello conlleva, ahora mismo solamente se recomienda el protocolo SMB 2.0 o SMB 3.0, aunque desde RedesZone os recomendamos este último ya que la autenticación se realiza completamente cifrada, para estar a salvo de los populares ataques Man in the Middle.