سیستم احراز هویت NTLM (NT LAN Manager) یکی از پروتکل‌های امنیتی قدیمی است که توسط مایکروسافت برای احراز هویت کاربران در شبکه‌های ویندوز توسعه یافته است. این سیستم به‌ویژه در محیط‌های قدیمی و بدون دسترسی به پروتکل‌های پیشرفته‌تر مانند Kerberos کاربرد داشته و همچنان در برخی شبکه‌ها مورد استفاده قرار می‌گیرد. با این حال، محدودیت‌های امنیتی NTLM و آسیب‌پذیری‌های آن، به‌ویژه در برابر حملاتی مانند Pass-the-Hash باعث شده است که متخصصان امنیت شبکه اهمیت بیشتری به شناخت و مدیریت صحیح این پروتکل بدهند.

NTLM چیست؟

NTLM (NT LAN Manager) یک پروتکل احراز هویت است که توسط مایکروسافت برای احراز هویت کاربران در شبکه‌های ویندوز توسعه یافته است. این پروتکل در دهه 1990 معرفی شد و به عنوان یک جایگزین برای سیستم‌های احراز هویت اولیه، در نسخه‌های قدیمی‌تر ویندوز مورد استفاده قرار گرفت. NTLM از یک مکانیزم چالش-پاسخ (Challenge-Response) برای احراز هویت استفاده می‌کند که شامل تأیید هویت کاربر بر اساس هش رمز عبور است، بدون اینکه رمز عبور واقعی در طول شبکه منتقل شود. 

این پروتکل اگرچه در زمان خود پیشرفته بود، اما با ظهور فناوری‌های جدیدتر مانند پروتکل Kerberos جایگاه خود را به‌تدریج از دست داد. با این حال NTLM هنوز در برخی سناریوها مانند احراز هویت در محیط‌های ترکیبی یا ارتباطات بین برنامه‌های قدیمی به کار گرفته می‌شود. محدودیت‌های امنیتی NTLM از جمله آسیب‌پذیری در برابر حملاتی مانند Pass-the-Hash این پروتکل را به هدفی برای مهاجمان تبدیل کرده است. به همین دلیل، شناخت ساختار و نحوه عملکرد NTLM برای متخصصان امنیت شبکه از اهمیت بالایی برخوردار است.

تاریخچه NTLM

پروتکل NTLM در اوایل دهه 1990 توسط مایکروسافت به‌عنوان بخشی از مجموعه ابزارهای امنیتی ویندوز معرفی شد. این پروتکل به‌عنوان جایگزینی برای پروتکل‌های احراز هویت قدیمی‌تر مانند LAN Manager (LM) طراحی شد که دارای ضعف‌های امنیتی جدی بودند. NTLM با ارائه یک مکانیزم چالش-پاسخ برای تأیید هویت کاربران، امنیت بیشتری نسبت به LM فراهم می‌کرد. در آن زمان NTLM به‌عنوان بخش کلیدی سیستم‌عامل‌های ویندوز NT نقش مهمی در تسهیل احراز هویت کاربران در شبکه‌های مبتنی بر ویندوز داشت. 

با پیشرفت فناوری و نیاز به امنیت بیشتر در شبکه‌ها، مایکروسافت در اوایل دهه 2000 پروتکل Kerberos را به‌عنوان بخشی از Active Directory معرفی کرد. Kerberos به دلیل طراحی مدرن‌تر و امنیت بالاتر، به پروتکل اصلی احراز هویت در سیستم‌های ویندوز تبدیل شد. با این حال NTLM همچنان به‌عنوان یک راه‌حل پشتیبانی در سناریوهایی که Kerberos قابل استفاده نیست (مانند ارتباط با برنامه‌ها یا دستگاه‌های قدیمی) باقی ماند. اگرچه امروزه NTLM به‌طور گسترده منسوخ شده است، اما در برخی از زیرساخت‌های قدیمی یا محیط‌های خاص همچنان استفاده می‌شود و به همین دلیل آشنایی با تاریخچه و نقاط ضعف آن برای متخصصان امنیت اهمیت دارد.

NTLM چگونه کار می‌کند؟

پروتکل NTLM برای احراز هویت از یک مکانیزم چالش-پاسخ استفاده می‌کند که در سه مرحله اصلی انجام می‌شود:

1. ایجاد ارتباط اولیه

فرآیند احراز هویت NTLM با ارسال درخواست کاربر به سرور آغاز می‌شود. در این مرحله کلاینت نام کاربری و اطلاعات اولیه را برای سرور ارسال می‌کند تا ارتباط احراز هویت برقرار شود. این ارتباط اولیه فاقد اطلاعات حساس مانند رمز عبور است. 

2. ارسال چالش از طرف سرور

پس از دریافت درخواست کلاینت، سرور یک عدد تصادفی به نام چالش ایجاد کرده و آن را به کلاینت ارسال می‌کند. این چالش به‌منظور جلوگیری از حملات بازپخش (Replay Attacks) طراحی شده است و نقش کلیدی در فرآیند احراز هویت ایفا می‌کند. 

3. پاسخ کلاینت و تأیید هویت

کلاینت، چالش دریافتی را با استفاده از رمز عبور هش‌شده کاربر پردازش کرده و نتیجه را به‌عنوان پاسخ به سرور ارسال می‌کند. سرور این پاسخ را با هش ذخیره‌شده در پایگاه داده خود مقایسه می‌کند. در صورت مطابقت، هویت کاربر تأیید می‌شود و دسترسی به منابع درخواست‌شده فراهم می‌گردد.

نسخه‌های NTLM

• NTLMv1:

این نسخه ابتدایی، با استفاده از الگوریتم‌های هش ضعیف مانند MD4 پیاده‌سازی شد و به دلیل نبود لایه‌های حفاظتی قوی، در برابر حملات امنیتی به‌ویژه حملات کرک هش‌ها آسیب‌پذیر بود.

• NTLMv2:

نسخه دوم با هدف رفع برخی از ضعف‌های امنیتی NTLMv1 معرفی شد. این نسخه از الگوریتم‌های هش قدرتمندتر و مکانیزم‌های بهبود‌یافته‌ای برای محافظت در برابر حملات بازپخش و سایر تهدیدات استفاده می‌کند.

مزایا و معایب استفاده از NTLM