Marcos Vinicius Lazarini wrote:Bom, mas o mesmo FAQ fala mais ou menos o que eu disse: http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#weakness
[...] Kerberos uses a principal's password (encryption key) as the fundamental proof of identity. If a user's Kerberos password is stolen by an attacker, then the attacker can impersonate that user with impunity.
Isso n�o significa que o atacante consegue ver as senhas "em claro", nem que elas est�o armazenadas em algum local.
N�o estou querendo prolongar mais a discuss�o, nem defender nem atacar kerberos (nem sou especialista, nem cheguei a usar isso), mas acho q vc est� pensando apenas no cliente kerberos. Vc cortou a segunda frase do FAQ que, apesar de amb�gua, tenta esclarecer:
'Como o KDC tem todas as senhas para todos os 'principals' de um dom�nio, se um host do KDC � comprometido, ent�o todo o dom�nio � comprometido'.
KDC = Key Distribution Center, ou "Kerberos server"
No caso do linux tradicional, as senhas s�o cifradas em MD5, o que demanda busca exaustiva e/ou via dicion�rio para quebrar uma senha por for�a bruta. A resposta do FAQ n�o � explicita, falando exatamente o comportamento do kerberor nesse ponto (at� pq n�o seria interessante que eles falassem diretamente isso), ent�o n�o d� pra saber. Assim, tirem suas pr�prias conclus�es.... E as mandem pra lista! :-)
Mas o Kerberos 4 apresentava algumas falhas de seguran�a, que a vers�o 5 parece ter corrigido. O artigo do Bellovin � bastante ilustrativo:
http://www.cs.jhu.edu/~astubble/600.412/s-c-papers/kerberos.pdf
Com certeza melhorias foram introduzidas, afinal � o percurso natural dos programas. Alias, nem sei qual vers�o eu estudei na faculdade...
-- Marcos
-- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
