È possibile avere un protocollo di autenticazione sicuro per la richiesta / risposta, autenticato immediatamente?
Troppo lento: una richiesta del cliente - > sfida server - > risposta del cliente - > risposta del server
Abbastanza veloce: richiesta del cliente - > risposta del server
No. Inviando una risposta alla richiesta, non stai sfidando il cliente, rendendolo un diverso tipo di schema di autenticazione.
Il metodo che descrivi non costituisce una sfida. Ci possono essere credenziali fornite come una coppia nome utente / password, ma non sfidano il cliente a fornire qualcosa oltre a ciò che ha già fornito.
Diamo un'occhiata a un vecchio esempio di sfida / risposta:
mappu mi invia un'email. Prima che il mio server lo accetti al valore nominale, restituisce una sfida a mappu . È qui che mappu ha l'opportunità di confermare la sua identità e consentire l'invio dell'e-mail alla mia casella di posta. Senza questa sfida, non è più una sfida di autenticazione.
Queste proposte sono basate sul cliente che genera sia la sfida nonce che la risposta alla sfida. Hanno tutti aspetti negativi.
IDEA 1:
Il client genera problemi non risolti casuali. Il server deve memorizzarli nella cache per impedire attacchi di riproduzione.
IDEA 2:
Il client genera nonces di challenge casuali insieme a un parametro di timestamp. Il server assicura che il timestamp sia recente e può espirare sfide sufficientemente vecchie dalla sua cache.
IDEA 3:
Il client genera aumenti di sfida monotono-aumentanti. Il server tiene traccia solo dell'ultima sfida e impone che nonces non validi siano accettati. Impedisce gli attacchi relay nonostante memorizzi solo un singolo valore.
Leggi altre domande sui tag authentication protocols challenge-response