Защищен ли этот протокол аутентификации как от прослушивания, так и от раскрытия базы данных сервера?

rationalbeing

04.08.2023, 06:42

Рассмотрим следующий протокол из книги «Безопасность сети: конфиденциальное общение в публичном мире» Кауфмана и др.

Алиса знает пароль. Боб, сервер, который будет аутентифицировать Алису, хранит хэш пароля Алисы.Алиса вводит свой пароль (например, fiddlesticks) на свою рабочую станцию. Происходит следующий обмен:

Этот протокол защищен как от перехвата (обмен хеш-значениями случайного числа и пароля-хэша), так и от раскрытия базы данных сервера (хранит только хеш-значение пароля). Но мой профессор говорит, что аутентификация на основе пароля может быть устойчива только к одному из них, но не к обоим. Поэтому может ли кто-нибудь указать, почему этот протокол не защищен от обоих?

492

0 + 0

пароли

хеширование паролей

Рейтинг:6

Crypto

poncho

04.08.2023, 09:31

Поэтому может ли кто-нибудь указать, почему этот протокол не защищен от обоих?

В этом протоколе «пароль» фактически представляет собой значение «хеш («фиддлстикс»)». Таким образом, если вы проникнете в базу данных сервера (и узнаете хеш ("fiddlesticks")), будет проще создать модифицированную программу для рабочей станции, которая использует значение 'hash ("fiddlesticks") для аутентификации.

Тем не менее, я не уверен, что ваш профессор прав, когда сказал, что «аутентификация на основе пароля может быть устойчива только к одному из них, но не к обоим».; Непрозрачный, например, защищен от раскрытия базы данных сервера (раскрытие базы данных позволит злоумышленнику проверить угадываемый пароль, но, похоже, это не то, что имеет в виду ваш профессор), и защищен от прослушивания (при условии, что проблема DLog жесткий).

0 + 0

Admin

Этот вопрос на других языках:

EN: Is this authentication protocol secure against both eavesdropping and server database disclosure?

TH: โปรโตคอลการตรวจสอบสิทธิ์นี้มีความปลอดภัยจากการดักฟังและการเปิดเผยฐานข้อมูลเซิร์ฟเวอร์หรือไม่

RO: Este acest protocol de autentificare sigur atât împotriva interceptării cu urechea cât și a dezvăluirii bazei de date pe server?

RU: Защищен ли этот протокол аутентификации как от прослушивания, так и от раскрытия базы данных сервера?

VI: Giao thức xác thực này có an toàn chống nghe trộm và tiết lộ cơ sở dữ liệu máy chủ không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.