Kerberos protege las contraseñas a través de la encriptación.
contraseñas no se envían a través de la red como texto sin formato , evitando "password sniffing" donde los hackers capturar y controlar los paquetes de red en busca de los identificadores de usuario y contraseñas. Kerberos utiliza un servidor de terceros como árbitro o KDC . Cuando un usuario inicia una sesión, el KDC toma el identificador de usuario y hash de la contraseña , que proporciona servicios de autenticación ( AS) . Una clave secreta se hizo luego de la contraseña de los usuarios hash. Para los servidores se genera aleatoriamente esta clave. El KDC devuelve un vale de concesión de vales (TGT ) con una clave de sesión al solicitante.
Mutual autenticación
cliente y el servidor (o los servidores , para el servidor de comunicación con el servidor ) deberá verificar su autenticidad socios . Esto se realiza mediante el envío de códigos de desafío y las respuestas entre los sistemas . El primer sistema genera el código de desafío y lo envía al segundo sistema . El segundo sistema responde mediante el envío de una respuesta al desafío junto con un desafío de su propia . El primer sistema verifica la segunda respuesta de los sistemas y de las respuestas al desafío que recibió. El segundo sistema de la verifica la respuesta de la primera y completa el sistema de autenticación . Este proceso ayuda a evitar el " hombre en el medio " ataques , en los que un hacker intenta interceptar comunicaciones y pasar por el cliente original o servidor.
Protección contra la fuerza bruta y ataques de repetición
Kerberos utiliza marcas de tiempo e información de por vida a las comunicaciones seguras en la red , lo que permite que se ponen límites en la duración de autenticaciones . Al solicitar periódicamente nueva autenticación, los posibles atacantes podrían enfrentar constantemente nuevos cifradores criptográficos para tratar de descifrar . Por lo general, no se le da un billete de por vida que es más largo que el tiempo estimado para un hacker para romper el cifrado del billete.
Tiempo probado , Industria aprobada y apoyada
Kerberos tenía ocho años en la fabricación y ha estado a disposición del público durante 20 años. Se basa en estándares abiertos de Internet , a diferencia de muchos métodos propietarios de autenticación. Como resultado , hay una comunidad muy grande de apoyo , las pruebas y la instrucción detrás de Kerberos . Muchos expertos de la industria han analizado Kerberos, incluyendo programadores, cryptologists , analistas de seguridad e ingenieros. Evaluación continua proporciona seguridad a sabiendas de que cualquier debilidad que se descubran serán tratados y rectificados rápidamente.