Kerberos è un protocollo di autenticazione per reti di computer sviluppato da Massachusetts Institute of Technology (MIT). Originariamente utilizzato esclusivamente al MIT, versioni successive sono state pubblicate e resi liberamente disponibili. Kerberos è il protocollo di autenticazione predefinito in Windows 2000 e versioni di Windows successive. Mac OS X, FreeBSD, AIX
e molte distribuzioni di Linux e UNIX utilizzano anche Kerebros. Attraverso l'uso di un centro di distribuzione chiavi (KDC), Kerberos fornisce maggiore sicurezza e autenticazione tramite crittografia forte.
Protezione con password
Kerberos protegge le password tramite crittografia.
Mai, le password vengono inviate attraverso la rete come testo normale, impedendo "password sniffing" dove gli hacker acquisire e monitorare i pacchetti di rete alla ricerca di ID utente e password. Kerberos utilizza un server di terze parti come un arbitro, o KDC. Quando un utente si connette, il KDC prende l'utente ID e password hash, fornendo servizi di autenticazione (AS). Una chiave segreta è quindi composto dall'hash della password agli utenti. Per i server di questa chiave viene generata casualmente. Quindi, il KDC restituisce un Ticket di concessione Ticket (TGT) con una chiave di sessione al richiedente.
Autenticazione reciproca
Client e server (o entrambi i server, per le comunicazioni da server a server) devono verificare l'autenticità del partner. Questo avviene tramite l'invio di codici di sfida e le risposte tra i sistemi. Il primo sistema genera il codice di sfida e lo invia per il secondo sistema. Il secondo sistema risponde inviando una risposta alla sfida insieme una sfida dei relativi propri. Il primo sistema di verifica la seconda risposta dei sistemi e le risposte alla sfida che ha ricevuto. Il secondo sistema la verifica la risposta del primo sistema e viene completata l'autenticazione. Questo processo aiuta a prevenire gli attacchi "man in the middle", dove un hacker tenta di intercettare le comunicazioni e spacciarsi per il server o il client originale.
Protezione contro la forza bruta e attacchi di tipo Replay
Kerberos utilizza informazioni timestamp e vita per proteggere le comunicazioni all'interno della rete, consentendo i limiti da porre sulla durata delle autenticazioni. Periodicamente richiedendo nuova autenticazione, potenziali aggressori avrebbe dovuto affrontare costantemente nuove cyphers crittografia per tentare di decodificare. In genere, nessun biglietto è dato un tempo di vita che è più lungo il tempo stimato per un hacker per rompere la cifratura del biglietto.
Tempo collaudato, industria approvato e sostenuto
Kerberos è stato otto anni fa ed è stato disponibile pubblicamente per 20 anni. Si basa su standard Internet aperti, a differenza di molti metodi proprietari di autenticazione. Di conseguenza, c'è una grande comunità di sostegno, collaudo e istruzione dietro Kerberos. Molti esperti del settore hanno analizzato Kerberos, incluse crittografi, gli analisti della sicurezza, programmatori e ingegneri. Valutazione costante fornisce sicurezza sapendo che eventuali punti deboli che vengono scoperti saranno affrontati e risolto rapidamente.