Quão segura é a autenticação integrada do Windows por senha?

1

Se o cliente estiver acessando o arquivo no servidor Windows por meio de http (não https) e autenticar usando a Autenticação Integrada do Windows no navegador, com que segurança a senha é enviada?

É enviado em texto simples ou não?

    
por Karel Bílek 04.08.2010 / 20:27

1 resposta

5

Usando a Segurança Integrada, a senha não é enviada através da rede, tornando-a uma escolha muito melhor do que a Basic ou a Digest. Há algumas advertências que você precisa saber, como suporte ao navegador, autenticação externa, delegação, etc.

Dê uma olhada em este artigo por um período descrição do que acontece com a Segurança Integrada e as coisas a serem lembradas. Veja a Segurança Integrada na seção Métodos de Autenticação.

Do artigo:

Integrated Windows authentication (using either NTLM challenge/response or Kerberos) involves authenticating a user with a Windows NT Domain or Active Directory account. Unlike Basic and Digest authentication, the encrypted password is not sent across the network, which makes this method very secure. If Active Directory Services is installed on the server and the browser is compatible with the Kerberos V5 authentication protocol, both the Kerberos V5 protocol and the challenge/response protocol are used; otherwise only the challenge/response protocol is used. It is best suited for an intranet environment, where both user and Web server computers are in the same domain and where administrators can ensure that every computer is running Microsoft Internet Explorer version 3.01 or later.

    
por 04.08.2010 / 20:32

Tags