“NTLM basiert auf einem Drei-Wege-Handshake zwischen Shopper und Server, um einen Benutzer zu authentifizieren. Kerberos setzt hingegen auf einen zweiteiligen Prozess, der auf einem Ticket-Vergabeservice oder einem Key-Distribution-Middle fußt”, erklärt Crowdstrike-Experte Narendran Vaideeswaran in einem Blogbeitrag. Kerberos ist additionally “safe by design” – etwas, das man von NTLM nicht einmal ansatzweise behaupten kann. Allerdings battle und ist NTLM einfach zu implementieren – was auch ein Grund für die anhaltende Nutzung ist. Ein weiterer: Wenn Kerberos nicht richtig funktioniert, ist NTLM oft die nächstbeste Wahl, respektive die Fallback-Lösung. Einen weiteren Ache Level besteht darin, dass das Protokoll auch verwendet wird, um Distant Desktop Companies zu implementieren.
Microsofts Bestrebungen, NTLM abzulösen, schienen hingegen angesichts der Nicht-Existenz einfacher Lösungen etwas unaufrichtig – erst in jüngster Zeit scheint die Abkehr von NTLM endlich Fahrt aufzunehmen. X-Consumer “Brian in Pittsburgh” bringt die zähe Entwicklung in einer Kurznachricht auf den Punkt:
For a couple of decade or extra, Microsoft took an method that prospects who wished to be extra foundationally safe wanted to both possess important experience and dedication to implement non-default and obscure issues or shift to utilizing new MS cloud stuff.
— Brian in Pittsburgh (@arekfurt) April 15, 2024
In einem Blogpost aus dem Oktober 2023 kündigt Microsoft an, die Zuverlässigkeit und Flexibilität von Kerberos ausbauen und die Abhängigkeiten von NTLM reduzieren zu wollen. In Home windows 11 soll NTLM vollständig deaktiviert werden – allerdings ist dafür bislang noch kein Termin bekannt.
