Quali sono i vantaggi di un sistema di autenticazione ZKP?

1

Quindi, ho letto da qualche parte che l'autenticazione basata su Zero Knowledge Proof è buona perché si assicura che il server non memorizzi la tua password e che la tua password non sia trasmessa sulla rete "non protetta".

Tuttavia, tutte le implementazioni che ho incontrato coinvolgono il server che memorizza alcune funzioni della password (un hash / un grafico che utilizza alcune permutazioni basate sulla password / un punto EC generato usando la password). Come aiuta? Anche i sistemi tradizionali AFAIK memorizzano l'hash della password e qualsiasi attacco di tabella arcobaleno / dizionario sui sistemi tradizionali dovrebbe anche essere applicato in modo simile ai server di autenticazione ZKP. Dov'è la sicurezza aggiuntiva in questo caso?

    
posta Gilgamesh 12.03.2016 - 17:55
fonte

1 risposta

1

La sicurezza aggiuntiva acquisita è che un utente malintenzionato non può passare un hash ottenuto in precedenza, per l'autenticazione e, allo stesso modo, una transazione completa nel sito non può essere riprodotta.

Trasmettere l'hash della password sul cavo è un problema come passare la password stessa, poiché l'hash diventa la stessa password, che consentirebbe comunque a un utente malintenzionato di autenticarsi.

In altre parole, ZKP aggiunge sicurezza di tipo challenge-response a un protocollo basato su password. Tuttavia, ZKP è ancora vulnerabile agli attacchi lato client come keylogger, malware e così via, perché l'ottimale è utilizzare invece una sorta di autenticazione 2FA, ad esempio un token challenge-response.

    
risposta data 12.03.2016 - 23:31
fonte

Leggi altre domande sui tag