Microsoft s’oriente vers l’authentification Kerberos.

Microsoft prévoit de supprimer l’authentification NTLM dans Windows 11. Microsoft a annoncé plus tôt cette semaine que le protocole d’authentification NTLM serait supprimé dans le futur dans Windows 11. NTLM (abréviation de New Technology LAN Manager) est une famille de protocoles utilisés pour authentifier les utilisateurs distants et assurer la sécurité des sessions. Kerberos, un autre protocole d’authentification, a remplacé NTLM et constitue désormais le protocole d’authentification par défaut actuel pour les appareils connectés au domaine sur toutes les versions de Windows supérieures à Windows 2000.

NTLM et KERBEROS : NTLM est un protocole d’authentification. C’était le protocole par défaut utilisé dans les anciennes versions de Windows, mais il est toujours utilisé aujourd’hui. Si, pour une raison quelconque, Kerberos échoue, NTLM sera utilisé à la place. NTLM dispose d’un mécanisme défi/réponse. Kerberos est un protocole d’authentification. Il s’agit du protocole d’authentification par défaut sur les versions Windows supérieures à W2k, remplaçant le protocole d’authentification NTLM.

Selon Microsoft : Les hachages NTLMv1 pourraient être craqués en quelques secondes avec l’informatique actuelle, car ils ont toujours la même longueur. NTLMv2 est un peu meilleur, car il est de longueur variable, mais pas tellement mieux. Le hash est enregistré dans la mémoire d’une machine. Kerberos offre plusieurs avantages par rapport à NTLM. Plus sécurisé : aucun mot de passe stocké localement ou envoyé sur le net; Meilleures performances; Prise en charge de la délégation; Gestion plus simple de la confiance; Prise en charge de l’authentification multifacteur (MFA).

L'authentification multifacteur (MFA) est une méthode d'authentification électronique dans laquelle un utilisateur n'est autorisé à accéder à un site Web ou à une application qu'après avoir présenté avec succès deux éléments de preuve ou plus à un mécanisme d'authentification : connaissance, possession et héritage. L’authentification multifacteur ajoute une couche de protection au processus de connexion. Pour accéder à leurs comptes ou à des applications, les utilisateurs doivent confirmer leur identité, par exemple en scannant leur empreinte ou en entrant un code reçu par téléphone. Azure AD propose des méthodes d’authentification multifacteur (MFA) variées et flexibles (par exemple, SMS, appels, biométrie et codes secret à usage unique) pour répondre aux besoins spécifiques de votre organisation et protéger vos utilisateurs. Les pirates développent des solutions capables de contourner les protections MFA à la fois avec des outils de phishing mais aussi avec les attaques croissantes du proxy inverse.


Un mot de passe est un mot ou une série de caractères utilisés comme moyen d'authentification pour prouver son identité lorsque l'on désire accéder à un lieu protégé, à un compte informatique, un ordinateur, un logiciel ou à un service dont l'accès est limité et protégé. Le mot de passe doit être tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la ressource ou au service. C'est une méthode parmi d'autres pour vérifier qu'une personne correspond bien à l'identité déclarée. Il s'agit d'une preuve que l'on possède et que l'on communique au service chargé d'autoriser l'accès. Selon la CNIL, Pour constituer un mot de passe fort, il faut douze caractères ou plus et que votre phrase contienne au moins un nombre, une majuscule, un signe de ponctuation ou un caractère spécial (dollar, dièse, ...) et une douzaine de mots. L'authentification multifacteur (MFA) est plus sûr que le mot de passe