¿Cuáles son las ventajas de un sistema de autenticación ZKP?

Navega tus respuestas
1

Por lo tanto, leí en algún lugar que la autenticación basada en prueba de conocimiento de Zero es buena porque se asegura de que el servidor no almacene su contraseña y que su contraseña no se transmita a través de la red "insegura".

Sin embargo, todas las implementaciones con las que me he topado implican que el servidor almacena alguna función de la contraseña (un hash / un gráfico que usa alguna permutación basada en la contraseña / un punto EC generado usando la contraseña). ¿Cómo ayuda eso? Los sistemas tradicionales de AFAIK también almacenan el hash de la contraseña y cualquier ataque de tabla / diccionario de arco iris en los sistemas tradicionales también debería ser igualmente aplicable para los servidores de autenticación ZKP. ¿Dónde está la seguridad adicional en este caso?

    
pregunta Gilgamesh 12.03.2016 - 17:55
fuente

1 respuesta

1

La seguridad adicional obtenida, es que un atacante no puede pasar un hash obtenido previamente, para autenticarse, y de la misma manera, no se puede volver a reproducir una transacción completa en el sitio.

Transmitir el hash de la contraseña a través del cable es tan malo como pasar la propia contraseña, ya que el hash se convierte en la propia contraseña, lo que permitiría que un atacante se autentique de todos modos.

En otras palabras, ZKP agrega seguridad de desafío-respuesta a un protocolo basado en contraseña. Sin embargo, ZKP sigue siendo vulnerable a los ataques del lado del cliente como los keyloggers, malware y demás, por lo que lo óptimo es utilizar algún tipo de autenticación 2FA, por ejemplo, un token de respuesta de desafío.

    
respondido por el sebastian nielsen 12.03.2016 - 23:31
fuente

Lea otras preguntas en las etiquetas

SSL mutuo: uso de CA pública para la firma de CSR de autenticación de cliente Rotación de claves para claves secretas compartidas - recomendación