Aparte de la falta de seguridad de las contraseñas, NTLM tiene otros comportamientos que lo convierten en un paraíso para los piratas informáticos. Primero, no requiere ninguna conexión local a un dominio de Windows. Además, es necesario cuando se utiliza una cuenta local y cuando no se sabe quién es el servidor de destino previsto. Además de estas debilidades, se inventó hace tanto tiempo (de hecho, antes de que se considerara siquiera Active Directory) que no admite técnicas criptográficas modernas, lo que hace que su sencillo sistema de hash sin sal sea trivialmente fácil de descifrar y decodificar.
Kerberos frente a NTLM
Afortunadamente, esas técnicas modernas son parte de los protocolos Kerberos, que es con lo que Microsoft ha estado tratando de reemplazar NTLM en los últimos años. Desde Windows Server 2000, ha sido la opción predeterminada para la autenticación. «NTLM se basa en un protocolo de enlace de tres vías entre el cliente y el servidor para autenticar a un usuario», escribió Narendran Vaideeswaran de Crowdstrike en un blog en abril de 2023. «Kerberos utiliza un proceso de dos partes que aprovecha un servicio de concesión de tickets o un centro de distribución de claves». Ese proceso de emisión de tickets significa que Kerberos es seguro por diseño, algo que nunca podría afirmarse para NTLM.
Una de las razones del perdurable reinado del NTLM es que fue fácil de implementar. Esto se debe a que cuando Kerberos (u otra cosa) no funcionaba correctamente, NTLM era la opción alternativa, lo que significa que si un usuario o una aplicación intenta autenticarse con Kerberos y falla, automáticamente (en la mayoría de los casos) intenta usar protocolos NTLM. . «Por ejemplo, si tiene grupos de trabajo con cuentas de usuario locales, donde el servidor de aplicaciones autentica al usuario directamente, Kerberos no funcionará», escribió República Tecnológica. Microsoft ha dicho que los usuarios locales todavía representan un tercio del uso de NTLM, una de las razones por las que Microsoft quiere mantener sus sistemas más antiguos. Otro punto débil es el protocolo utilizado para implementar los Servicios de Escritorio remoto, que a menudo pueden recurrir a NTLM. Sin embargo, «Microsoft admite configuraciones de seguridad heredadas mucho después de sus fechas de vencimiento», escribe Adrián Amós en un blog. publicación de noviembre de 2023.