¿Todos los protocolos de desafío-respuesta (u otra autenticación) son vulnerables a los ataques principales en línea en línea?
Digamos que Alice quiere configurar una conexión con Bob (por ejemplo, quiere iniciar sesión en un servidor). Bob le envía un número al azar, r. Alice luego responde con un MAC del número aleatorio, usando su contraseña. Bob sabe que solo Alice puede hacer esto y la registra en el servidor.
Pero y si, durante todo este tiempo, hubo un adversario en línea entre Alice y Bob. Él puede interceptarlo y se lo envió a Alicia. Podía falsificar la IP del servidor, por lo que Alice cree que viene de Bob. Alice luego envía su respuesta y nuevamente el adversario la intercepta y la envía al servidor. El adversario acaba de reenviar el mensaje, por lo que Bob todavía lo acepta como correcto e inicia sesión en el adversario. Ahora ha configurado una conexión con Bob, en nombre de Alice.
¿Mi razonamiento es correcto? Supongo que, debido a esto, nunca utilizará protocolos de respuesta-desafío para iniciar sesión en un usuario o iniciar una sesión. Si no me equivoco, el uso de claves de sesión protege contra este ataque y permite una conexión segura.