یک پروتکل احراز هویت Single sign-on (ورود تک مرحله ای) است که توسط ماکروسافت ایجاد شده است. در نوشتار به صورت خلاصه به ساختار و نحوه عملکرد این پروتکل اشاره خواهد شد اما جزییات این پروتکل را می توانید در این ادرس ها مطالعه کنید.
در این روش معمولاً با طرح یک سوال که پاسخی از پیش معین دارد به هویت کاربر پی می بریم.
برای مثال پرسش یک نام کاربری( پرسش) و رمز عبور(پاسخ) - که روش معمولی در احراز هویت هاست - یک نمونه از این نوع احراز هویت است.
مهمترین مشکل این روش لو رفتن پرسش و پاسخ است ( لو رفتن نام کاربری و رمز عبور) که مهاجم می تواند از طریق شنود شبکه (sniff) یا ترفند مرد میانی (middle-man) یا جعل هویت (phishing ) اقدام به بدست اوردن این اطلاعات کند. طبیعی است برای مقابله با هر یک از این حمله ها باید روش های مختلفی را در بکار برد.
اما مهمترین ایراد این روش ثابت بودن پرسش و پاسخ است.
باید در هر بار پرسش سوال کاربر پاسخ ها متفاوتی را بدهد و هر پاسخ فقط یکبار قابل استفاده باید ( این روش را با ورود دو مرحله اشتباه نگیریددر این روش کاربر به ابزار دیگه برای دریافت پاسخ پویا دسترسی ندارد)
پروتکل NTLM راه کار ماکروسافت برای این مشکل است.
به این نمودار توجه کنید:
NTLM2 Session Client<-Server: SC Client->Server: H(P,H'(SC,CC)), CC Server->DomCntl: H(P,H'(SC,CC)), H'(SC,CC) Server<-DomCntl: yes or no
برای توضیحات کامل درباره این موضوع به لینک زیر مراجعه کنید.
