Giao thức xác thực này có an toàn chống nghe trộm và tiết lộ cơ sở dữ liệu máy chủ không?

rationalbeing

06:42, 04/08/2023

Hãy xem xét giao thức sau đây từ cuốn sách "An ninh mạng: Giao tiếp riêng tư trong thế giới công cộng" của Kaufman et al.

Alice biết một mật khẩu. Bob, một máy chủ sẽ xác thực Alice, lưu trữ một hàm băm của mật khẩu Aliceâ.Alice nhập mật khẩu của mình (giả sử fiddlesticks) đến máy trạm của cô ấy. Quá trình trao đổi sau đây diễn ra:

Giao thức này dường như an toàn chống lại cả việc nghe trộm (trao đổi giá trị băm của số ngẫu nhiên và hàm băm mật khẩu) và tiết lộ cơ sở dữ liệu máy chủ (chỉ lưu trữ giá trị băm của mật khẩu). Tuy nhiên, giáo sư của tôi nói rằng xác thực dựa trên mật khẩu chỉ có thể phục hồi đối với một trong hai chứ không phải cả hai. Do đó, ai đó có thể chỉ ra lý do tại sao giao thức này không an toàn đối với cả hai không?

492

0 + 0

mật khẩu

băm mật khẩu

Điểm:6

Crypto

poncho

09:31, 04/08/2023

Do đó, ai đó có thể chỉ ra lý do tại sao giao thức này không an toàn đối với cả hai không?

Với giao thức này, 'mật khẩu' thực sự là giá trị 'băm ("fiddlesticks")'. Do đó, nếu bạn đột nhập vào cơ sở dữ liệu máy chủ (và tìm hiểu hàm băm("fiddlesticks")), bạn có thể dễ dàng tạo một chương trình máy trạm đã sửa đổi sử dụng giá trị 'băm("fiddlesticks") để xác thực.

Điều đó nói rằng, tôi không chắc rằng giáo sư của bạn đúng khi ông ấy nói "xác thực dựa trên mật khẩu chỉ có thể phục hồi đối với một trong hai chứ không phải cả hai."; Mờ mịt, ví dụ: an toàn trước việc tiết lộ cơ sở dữ liệu máy chủ (việc tiết lộ cơ sở dữ liệu sẽ cho phép kẻ tấn công kiểm tra dự đoán mật khẩu, nhưng điều đó có vẻ không đúng với ý của giáo sư của bạn) và an toàn trước việc nghe lén (giả sử rằng sự cố DLog là cứng).

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is this authentication protocol secure against both eavesdropping and server database disclosure?

TH: โปรโตคอลการตรวจสอบสิทธิ์นี้มีความปลอดภัยจากการดักฟังและการเปิดเผยฐานข้อมูลเซิร์ฟเวอร์หรือไม่

RO: Este acest protocol de autentificare sigur atât împotriva interceptării cu urechea cât și a dezvăluirii bazei de date pe server?

RU: Защищен ли этот протокол аутентификации как от прослушивания, так и от раскрытия базы данных сервера?

VI: Giao thức xác thực này có an toàn chống nghe trộm và tiết lộ cơ sở dữ liệu máy chủ không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.