NTLM utilise un mécanisme de « stimulation/réponse » (« challenge-response ») pour l'authentification, dans laquelle les clients sont capables de prouver leurs identités sans envoyer un mot de passe au serveur. Cela consiste en trois messages, généralement mentionnés comme Type 1 (la négociation), Type 2 (la stimulation) et Type 3 (l'authentification). Il fonctionne essentiellement comme cela :
1. Le client envoie un message Type 1 au serveur. Celui-ci contient principalement une liste des fonctionnalités supportées par le client et demandées au serveur.
2. Le serveur répond par un message Type 2. Celui-ci contient une liste de fonctionnalités supportées et accordées par le serveur. Le plus important cependant, il contient une « stimulation » produite par le serveur.
3. Le client répond à la « stimulation » avec un message Type 3. Celui-ci contient plusieurs informations au sujet du client, comprenant le domaine et le nom d'utilisateur du client. Il contient également une ou plusieurs réponses à la « stimulation » Type 2.
Les réponses dans le message du type 3 sont la partie la plus critique, car elles prouvent au serveur que l'utilisateur client a la connaissance du mot de passe du compte.
L'authentification Stimulation/Réponse de Windows NT ne pouvant pas franchir un pare-feu, elle est surtout utile sur les intranets, où la communication intervient derrière le pare-feu d'une organisation. Elle est également souvent utilisée pour l'authentification des utilisateurs sur un serveur proxy.
Partager