Forma alternativa de aplicar la autenticación en la seguridad de la red

Para confirmar la identidad de los participantes, debe existir una ID única que los distinga. Para lograr la autenticación, deberíamos poder validar la ID única.

Las firmas digitales son una forma de lograr lo mismo. En las firmas, una autoridad de confianza certifica que la entidad que se comunica con usted es de hecho la que se supone que es. También tienes la opción de verificarlo computacionalmente.

HMAC es otra forma de hacerlo. HMAC también utiliza una clave derivada de una clave previamente compartida entre las entidades y el hashing.

Para autenticarse de forma segura entre dos entidades, se requiere una firma asimétrica o una autenticación de mensaje basada en clave compartida.

Varía según el protocolo.

PAP (Protocolo de autenticación de contraseña)

Esto es solo para referencia y no debe usarse. Esto es solo enviar un nombre de usuario y contraseña en el encabezado.

CHAP (Protocolo de autenticación por desafío mutuo)

Utiliza un método de respuesta de desafío generando una cadena y las necesidades del cliente la coinciden. Esto es más para referencia también.

Kerberos

En su punto, utiliza la criptografía de clave secreta para establecer la identidad. Común, en la mayoría de los sistemas. También proporciona un boleto para el usuario que se puede usar en la Autorización.

NTLM

Un conjunto de protocolos de seguridad de Microsoft para autenticación, autorización e integridad que utiliza los mismos conceptos de desafío-respuesta como CHAP.

Abrir ID

Un estándar abierto que utiliza el concepto de protocolo de autenticación descentralizado y URL para intercambiar información de identidad.

Explicación

La autenticación es el acto de demostrar que un usuario es quien dice ser. Cada ejemplo que proporcioné son protocolos débiles para lograr esto. Lo que creo que no entiendes es que la Autenticación en su conjunto no está sujeta a la protección de los ojos curiosos de los intrusos.

Ese es el rol de otros protocolos como HTTPS, que es el más común y utiliza la criptografía de clave pública para establecer una conexión segura a otro servicio.

Example

Al conectarse a Facebook, utiliza una conexión HTTPS (claves públicas) para establecer una conexión segura. Usted proporcionó su nombre de usuario / contraseña, y lo autentica usando, si recuerdo bien, su implementación de OAUTH 2.0.

La seguridad de la conexión y la integridad de la identidad de los usuarios son exclusivas. Tendemos a hablar de ellos nominalmente, pero normalmente usan protocolos separados.

Considere el propósito del cifrado: está ahí para evitar que terceros copien, falsifiquen o interfieran con las credenciales de acceso. El cifrado proporciona un canal de punto a punto seguro para intercambiar información. Es posible hacer esto con la red física (las contraseñas de rastreo no se consideraron un problema con los terminales seriales conectados a una computadora central) pero es difícil garantizar la integridad física de una red de este tipo en la actualidad. Además, una arquitectura de este tipo es costosa, poco confiable e inflexible en comparación con una red de medio compartido como Ethernet o wifi.

Cuando los EE. UU. aún tenían reglas tontas sobre la exportación de cifrado, un equipo en Suecia creó una implementación de kerberos que no usaba cifrado (eBones). Sospecho que probablemente dependía de separar el medio físico de la red entre las partes, aunque supongo que aquí.

Es posible implementar una autenticación segura sin claves, pero requiere hash seguro (y autenticación mutua) pero conlleva mucha complejidad. Este puede haber sido el método utilizado en los eBones. Tenga en cuenta que esto aún depende de un secreto compartido, que es una clave, aunque no criptográfica.

Pero, ¿por qué molestarse ahora cuando el cifrado basado en clave resuelve el problema de autenticación y también protege otros intercambios de datos?