NTLMSSP es una extensión de seguridad para la autenticación NTLM. Se usaba bastante para mejorar la seguridad del IIS (porque tambien sirve para la autenticación web de Microsoft y para los servicios que usan el rpc o remote procedure call).
Se trataba de una mejor forma de autenticar via NTLM, sobre todo si disponías de servicios diversos con autenticaciones más débiles, aunque ahora creo que lo han quitado (al menos yo no lo he visto en windows 2008 server...) Están apostando mucho más fuerte por kerberos (que es bastante mejor, la verdad).
Cita: "Sigo pensando que SSL es mejor opción. Sin un keylogger, y si eres precavido para no caer en un MitM, tu password estará bastante seguro. Aunque... siempre podrán capturar tu sesión una vez autenticado, claro. " . Es decir, si estás con https , ¿pueden capturar como sugieres, la sesión?
La mayor parte de las sesiones se mantienen mediante cookies que pasas al servidor en cada llamada... Cualquiera que robe esas cookies podría engañan al server haciéndose pasar por tí. Generalmente, las conexiones HTTPS se usan sólo en el momento de la autenticación para no enviar el password en claro (para no sobrecargar a los servidores), y a partir de ese momento te autenticas con tu cookie (generalmente ya via HTTP). La cookie podría ser capturada si tienen acceso troyanizado a tu disco duro o incluso "on the fly".
Recuerda... La seguridad no existe. Lo único que existe es la capacidad de ir poniendo trabas y mantener tus muros "defendidos" en la medida de lo posible (actualizaciones), además de una buena higiene informática (cuidado al navegar, con los correos, los usbs, etc...).
La verdad es que me gusta como lo estás montando. Se ve que te preocupas por estas cosas y eso siempre habla bien de un administrador de sistemas... Ánimo :)