Autenticazione della sfida senza andata e ritorno

0

È possibile avere un protocollo di autenticazione sicuro per la richiesta / risposta, autenticato immediatamente?

Troppo lento: una richiesta del cliente - > sfida server - > risposta del cliente - > risposta del server

Abbastanza veloce: richiesta del cliente - > risposta del server

    
posta mappu 18.02.2016 - 08:15
fonte

2 risposte

1

Risposta breve:

No. Inviando una risposta alla richiesta, non stai sfidando il cliente, rendendolo un diverso tipo di schema di autenticazione.

Risposta più lunga:

Il metodo che descrivi non costituisce una sfida. Ci possono essere credenziali fornite come una coppia nome utente / password, ma non sfidano il cliente a fornire qualcosa oltre a ciò che ha già fornito.

Diamo un'occhiata a un vecchio esempio di sfida / risposta:

mappu mi invia un'email. Prima che il mio server lo accetti al valore nominale, restituisce una sfida a mappu . È qui che mappu ha l'opportunità di confermare la sua identità e consentire l'invio dell'e-mail alla mia casella di posta. Senza questa sfida, non è più una sfida di autenticazione.

    
risposta data 18.02.2016 - 08:24
fonte
0

Queste proposte sono basate sul cliente che genera sia la sfida nonce che la risposta alla sfida. Hanno tutti aspetti negativi.

IDEA 1:

Il client genera problemi non risolti casuali. Il server deve memorizzarli nella cache per impedire attacchi di riproduzione.

  • Con: la dimensione della cache del server è illimitata.

IDEA 2:

Il client genera nonces di challenge casuali insieme a un parametro di timestamp. Il server assicura che il timestamp sia recente e può espirare sfide sufficientemente vecchie dalla sua cache.

  • Con: il server e il client devono mantenere un tempo simile.

IDEA 3:

Il client genera aumenti di sfida monotono-aumentanti. Il server tiene traccia solo dell'ultima sfida e impone che nonces non validi siano accettati. Impedisce gli attacchi relay nonostante memorizzi solo un singolo valore.

  • Con: il client deve mantenere lo stato persistente per conoscere il prossimo possibile nonce.
risposta data 18.02.2016 - 08:23
fonte

Leggi altre domande sui tag