NTLM: come funziona il pro­to­col­lo

Le reti in­for­ma­ti­che sono vul­ne­ra­bi­li agli attacchi se non sono protette ade­gua­ta­men­te. L’obiettivo è quindi di impedire l’accesso non au­to­riz­za­to ai dati e ai servizi condivisi da parte di terzi. Per per­met­te­re agli utenti legittimi di con­net­ter­si tra loro, è quindi ne­ces­sa­rio creare accessi sicuri alla rete che al­tri­men­ti sarebbe chiusa. A tal fine sono ne­ces­sa­rie alcune procedure di sicurezza. Con NT LAN Manager (NTLM) Microsoft ha svolto la funzione di pioniere nell’in­tro­du­zio­ne di una procedura di au­ten­ti­ca­zio­ne, con­si­de­ra­ta però adesso obsoleta. Come funziona il pro­to­col­lo?

NTLM è un insieme di pro­to­col­li di au­ten­ti­ca­zio­ne svi­lup­pa­to da Microsoft. Avviato ini­zial­men­te come pro­to­col­lo pro­prie­ta­rio, NTLM è ora di­spo­ni­bi­le anche per i sistemi che non uti­liz­za­no Windows. NT LAN Manager consente l’au­ten­ti­ca­zio­ne reciproca di computer e server diversi. La maggior parte delle reti ha l’obiettivo di impedire l’accesso a par­te­ci­pan­ti non au­to­riz­za­ti. Per questo motivo è ne­ces­sa­rio attuare una procedura di verifica: solo se il client dispone delle au­to­riz­za­zio­ni ne­ces­sa­rie, può accedere alla rete o uti­liz­za­re i suoi servizi.

Il pro­to­col­lo prevede l’au­ten­ti­ca­zio­ne di un client mediante un nome utente e una password associata. A tal fine, avviene uno scambio tra il di­spo­si­ti­vo dell’utente e un server. Quest’ultimo conosce i dati di login e quindi può con­trol­la­re l’accesso e au­to­riz­zar­lo.

Durante la ne­go­zia­zio­ne tra client e host, le in­for­ma­zio­ni vengono trasmesse in parte sotto forma di flag NTLM, che con­si­sto­no in un codice lungo 4 byte. I Ne­go­tia­tion Flags, che in parte si dif­fe­ren­zia­no tra loro anche di un solo bit, for­ni­sco­no in­for­ma­zio­ni sullo stato della procedura di login.

Il pro­to­col­lo NTLM è pro­get­ta­to per con­net­te­re più computer Windows tra loro o a un server. Il metodo ga­ran­ti­sce la sicurezza con­trol­lan­do l’au­to­riz­za­zio­ne di accesso dei client. Windows utilizza NTLM come metodo Single Sign-On (SSO). Questo significa che gli utenti devono accedere una sola volta per uti­liz­za­re diverse ap­pli­ca­zio­ni all’interno del dominio.

NTML è ormai con­si­de­ra­to obsoleto e Microsoft lo sta rim­piaz­zan­do con Kerberos che offre un pro­to­col­lo di au­ten­ti­ca­zio­ne più sicuro. NTLM viene comunque ancora uti­liz­za­to, ma prin­ci­pal­men­te per sup­por­ta­re i servizi più datati. Per gli am­mi­ni­stra­to­ri di reti più grandi può essere utile di­sa­bi­li­ta­re il pro­to­col­lo NTLM se non è ef­fet­ti­va­men­te ne­ces­sa­rio. In questo modo, si impedisce a un client di ef­fet­tua­re l’accesso ac­ci­den­tal­men­te creando una falla di sicurezza.

Un vantaggio di NTML è che per l’au­ten­ti­ca­zio­ne non bisogna inviare sulla rete password non protette. La tra­smis­sio­ne dal client al server avviene uni­ca­men­te sotto forma di valore hash. Questo ga­ran­ti­sce cer­ta­men­te un maggiore livello di sicurezza. Il valore hash ha, tuttavia, lo svan­tag­gio di essere l’equi­va­len­te di una password. Se la tra­smis­sio­ne viene in­ter­cet­ta­ta, può venir meno la sicurezza promessa dal sistema. La password è crit­to­gra­fa­ta tramite MD4, una procedura con­si­de­ra­ta ormai poco sicura. Tali valori hash possono essere de­co­di­fi­ca­ti ab­ba­stan­za fa­cil­men­te.

Un ulteriore svan­tag­gio è che NTLM non supporta l’au­ten­ti­ca­zio­ne mul­ti­fat­to­re (MFA, Multi Factor Au­then­ti­ca­tion). So­prat­tut­to quando si tratta di dati sensibili, si consiglia di mettere in atto diversi mec­ca­ni­smi di pro­te­zio­ne, mentre il metodo challenge-response di NTLM consente un solo metodo di au­ten­ti­ca­zio­ne e cioè quello tramite nome utente e password.