Este acest protocol de autentificare sigur atât împotriva interceptării cu urechea cât și a dezvăluirii bazei de date pe server?

rationalbeing

04.08.2023, 06:42

Luați în considerare următorul protocol din cartea „Network Security: Private Communication in a Public World” de Kaufman și colab.

Alice știe o parolă. Bob, un server care o va autentifica pe Alice, stochează un hash al parolei Alice.Alice își scrie parola (să zicem fiddlesticks) la postul ei de lucru. Are loc urmatorul schimb:

Acest protocol pare a fi sigur atât împotriva interceptării cu urechea (schimbul valorilor hash ale numărului aleatoriu și a parolei-hash) cât și împotriva divulgării bazei de date a serverului (stochează doar valoarea hash a parolei). Dar profesorul meu spune că autentificarea bazată pe parolă poate fi rezistentă doar la oricare dintre acestea, dar nu la ambele. Prin urmare, poate cineva să sublinieze de ce acest protocol nu este sigur împotriva ambelor?

492

0 + 0

parolele

hashing parole

Puncte:6

Crypto

poncho

04.08.2023, 09:31

Prin urmare, poate cineva să sublinieze de ce acest protocol nu este sigur împotriva ambelor?

Cu acest protocol, „parola” este efectiv valoarea „hash(„fiddlesticks”)”. Prin urmare, dacă pătrundeți în baza de date a serverului (și învățați hash ("fiddlesticks")), este simplu să creați un program de stație de lucru modificat care folosește valoarea "hash ("fiddlesticks") pentru a se autentifica.

Acestea fiind spuse, nu sunt sigur că profesorul dumneavoastră are dreptate când a spus „autentificarea bazată pe parolă poate fi rezistentă doar la oricare dintre acestea, dar nu la ambele.”; Opac, de exemplu, este securizat împotriva dezvăluirii bazei de date pe server (dezvăluirea bazei de date va permite atacatorului să testeze ipotezele parolei, dar nu pare să fie ceea ce înseamnă profesorul dvs.) și este sigur împotriva interceptării (presupunând că problema DLog este greu).

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: Is this authentication protocol secure against both eavesdropping and server database disclosure?

TH: โปรโตคอลการตรวจสอบสิทธิ์นี้มีความปลอดภัยจากการดักฟังและการเปิดเผยฐานข้อมูลเซิร์ฟเวอร์หรือไม่

RO: Este acest protocol de autentificare sigur atât împotriva interceptării cu urechea cât și a dezvăluirii bazei de date pe server?

RU: Защищен ли этот протокол аутентификации как от прослушивания, так и от раскрытия базы данных сервера?

VI: Giao thức xác thực này có an toàn chống nghe trộm và tiết lộ cơ sở dữ liệu máy chủ không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.