Ist ja auch nicht gerade jung (nichtmal nach NT-Standards) und immer voller Lücken... Sorry wegen der Umlaute, Forum hat einen Bug bei mir.

FreiGeistler schrieb: -------------------------------------------------------------------------------- > Ist ja auch nicht gerade jung (nichtmal nach NT-Standards) und immer voller > Lücken... "Kerberos wurde Mitte der 1980er Jahre von Forschern des Massachusetts Institute of Technology (MIT) entwickelt. " "NTLM wird weiterhin von Microsoft unterstützt, allerdings wurde das Protokoll bei Windows 2000 und späteren Active Directory-Domänen durch das Standard-Authentifizierungsprotokoll Kerberos ersetzt." Quelle: https://www.crowdstrike.de/cybersecurity-101/ntlm-windows-new-technology-lan-manager/

Oh man haben hier viele Leute keine Ahnung. Kerberos ist in der aktuellen Version inkl. MS Protokollerweiterungen durchaus sicher zu implementieren ohne dabei Lücken offen zu lassen, ist aber nichts desto trotz ein Legacy Protokoll. NTLM wurde auch die letzten Jahre weiter mit Security Patches, teilweise sogar kleinen Anpassungen versehen und nicht 2000 ersetzt sondern ist weiterhin aktiv in Benutzung. Die Aussage dass es ersetzt wurde ist defakto falsch, Kerberos ist nur in den meisten Situationen der Standard geworden. Letztendlich sollte man einfach komplett von Legacy Auth wie NTLM und Kerberos weg und seine Server endlich abschaffen oder in die Cloud migrieren und auf aktuelle OIDC basierte Authentifizierung umsteigen.

@vistahr Ah, wir reden hier also von MIT Kerberos und nicht vom Heimdal Kerberos oder der Implementation von Microsoft. Das sind drei unterschiedliche Kerberos Implementierungen, mit unterschiedlichem Funktions- und Sicherheitsumfang. Alle drei sind grundlegend zueinander kompatibel, jedoch nicht vollständig und leider in vielen Fällen nur begrenzt zueinander kompatibel. Kerberos ist ein Protokoll und nicht die Implementierung des Protokolls und in dem Fall wird Kerberos gerne als Überbegriff genutzt, obwohl es deutliche Unterschiede gibt.

Gerade Kerberos? - Authentifizierung in Windows: Microsoft will altes NTLM schnell loswerden

‹
Thema
›

Neues Thema

Gerade Kerberos?

Autor: FreiGeistler 16.10.23 - 20:18

Ist ja auch nicht gerade jung (nichtmal nach NT-Standards) und immer voller Lücken...

Sorry wegen der Umlaute, Forum hat einen Bug bei mir.
Re: Gerade Kerberos?

Autor: Lufegrt 17.10.23 - 04:53

Quelle?
Re: Gerade Kerberos?

Autor: vistahr 17.10.23 - 07:11

FreiGeistler schrieb:
--------------------------------------------------------------------------------
> Ist ja auch nicht gerade jung (nichtmal nach NT-Standards) und immer voller
> Lücken...

"Kerberos wurde Mitte der 1980er Jahre von Forschern des Massachusetts Institute of Technology (MIT) entwickelt. "

"NTLM wird weiterhin von Microsoft unterstützt, allerdings wurde das Protokoll bei Windows 2000 und späteren Active Directory-Domänen durch das Standard-Authentifizierungsprotokoll Kerberos ersetzt."

Quelle: https://www.crowdstrike.de/cybersecurity-101/ntlm-windows-new-technology-lan-manager/
Re: Gerade Kerberos?

Autor: ChameleonAI 17.10.23 - 11:56

Oh man haben hier viele Leute keine Ahnung. Kerberos ist in der aktuellen Version inkl. MS Protokollerweiterungen durchaus sicher zu implementieren ohne dabei Lücken offen zu lassen, ist aber nichts desto trotz ein Legacy Protokoll. NTLM wurde auch die letzten Jahre weiter mit Security Patches, teilweise sogar kleinen Anpassungen versehen und nicht 2000 ersetzt sondern ist weiterhin aktiv in Benutzung. Die Aussage dass es ersetzt wurde ist defakto falsch, Kerberos ist nur in den meisten Situationen der Standard geworden.
Letztendlich sollte man einfach komplett von Legacy Auth wie NTLM und Kerberos weg und seine Server endlich abschaffen oder in die Cloud migrieren und auf aktuelle OIDC basierte Authentifizierung umsteigen.
Re: Gerade Kerberos?

Autor: Engel 17.10.23 - 18:21

@vistahr Ah, wir reden hier also von MIT Kerberos und nicht vom Heimdal Kerberos oder der Implementation von Microsoft.

Das sind drei unterschiedliche Kerberos Implementierungen, mit unterschiedlichem Funktions- und Sicherheitsumfang.

Alle drei sind grundlegend zueinander kompatibel, jedoch nicht vollständig und leider in vielen Fällen nur begrenzt zueinander kompatibel.

Kerberos ist ein Protokoll und nicht die Implementierung des Protokolls und in dem Fall wird Kerberos gerne als Überbegriff genutzt, obwohl es deutliche Unterschiede gibt.

‹
Thema
›

Neues Thema

Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login