Рейтинг:1

Защищен ли этот протокол аутентификации как от прослушивания, так и от раскрытия базы данных сервера?

флаг jp

Рассмотрим следующий протокол из книги «Безопасность сети: конфиденциальное общение в публичном мире» Кауфмана и др.

Алиса знает пароль. Боб, сервер, который будет аутентифицировать Алису, хранит хэш пароля Алисы.Алиса вводит свой пароль (например, fiddlesticks) на свою рабочую станцию. Происходит следующий обмен: введите описание изображения здесь

Этот протокол защищен как от перехвата (обмен хеш-значениями случайного числа и пароля-хэша), так и от раскрытия базы данных сервера (хранит только хеш-значение пароля). Но мой профессор говорит, что аутентификация на основе пароля может быть устойчива только к одному из них, но не к обоим. Поэтому может ли кто-нибудь указать, почему этот протокол не защищен от обоих?

Рейтинг:6
флаг my

Поэтому может ли кто-нибудь указать, почему этот протокол не защищен от обоих?

В этом протоколе «пароль» фактически представляет собой значение «хеш («фиддлстикс»)». Таким образом, если вы проникнете в базу данных сервера (и узнаете хеш ("fiddlesticks")), будет проще создать модифицированную программу для рабочей станции, которая использует значение 'hash ("fiddlesticks") для аутентификации.

Тем не менее, я не уверен, что ваш профессор прав, когда сказал, что «аутентификация на основе пароля может быть устойчива только к одному из них, но не к обоим».; Непрозрачный, например, защищен от раскрытия базы данных сервера (раскрытие базы данных позволит злоумышленнику проверить угадываемый пароль, но, похоже, это не то, что имеет в виду ваш профессор), и защищен от прослушивания (при условии, что проблема DLog жесткий).

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.