Score:1

โปรโตคอลการตรวจสอบสิทธิ์นี้มีความปลอดภัยจากการดักฟังและการเปิดเผยฐานข้อมูลเซิร์ฟเวอร์หรือไม่

ธง jp

พิจารณาโปรโตคอลต่อไปนี้จากหนังสือ "Network Security: Private Communication in a Public World" โดย Kaufman et al.

อลิซรู้รหัสผ่าน Bob เซิร์ฟเวอร์ที่จะรับรองอลิซ เก็บแฮชรหัสผ่านของอลิซอลิซพิมพ์รหัสผ่านของเธอ (พูดว่า fiddlesticks) ไปยังเวิร์กสเตชันของเธอ การแลกเปลี่ยนต่อไปนี้เกิดขึ้น: ป้อนคำอธิบายรูปภาพที่นี่

โปรโตคอลนี้ดูเหมือนจะปลอดภัยจากการดักฟัง (การแลกเปลี่ยนค่าแฮชของตัวเลขสุ่มและแฮชรหัสผ่าน) และการเปิดเผยฐานข้อมูลเซิร์ฟเวอร์ (เก็บเฉพาะค่าแฮชของรหัสผ่าน) แต่อาจารย์ของฉันบอกว่าการรับรองความถูกต้องด้วยรหัสผ่านสามารถยืดหยุ่นได้กับหนึ่งในนั้น แต่ไม่ใช่ทั้งสองอย่าง ดังนั้น ใครสามารถชี้ให้เห็นว่าทำไมโปรโตคอลนี้ถึงไม่ปลอดภัยจากทั้งสองโปรโตคอล

Score:6
ธง my

ดังนั้น ใครสามารถชี้ให้เห็นว่าทำไมโปรโตคอลนี้ถึงไม่ปลอดภัยจากทั้งสองโปรโตคอล

ด้วยโปรโตคอลนี้ 'รหัสผ่าน' จะเป็นค่า 'แฮช ("fiddlesticks")' ได้อย่างมีประสิทธิภาพ ดังนั้น หากคุณเจาะเข้าไปในฐานข้อมูลของเซิร์ฟเวอร์ (และเรียนรู้แฮช ("fiddlesticks")) การสร้างโปรแกรมเวิร์กสเตชันที่ปรับเปลี่ยนแล้วจะใช้ค่า 'แฮช ("fiddlesticks") เพื่อตรวจสอบความถูกต้อง

ที่กล่าวว่า ฉันไม่แน่ใจว่าอาจารย์ของคุณพูดถูกเมื่อเขากล่าวว่า "การรับรองความถูกต้องด้วยรหัสผ่านสามารถยืดหยุ่นได้กับหนึ่งในนั้น แต่ไม่ใช่ทั้งสองอย่าง"; ทึบแสงตัวอย่างเช่น มีความปลอดภัยจากการเปิดเผยฐานข้อมูลเซิร์ฟเวอร์ (การเปิดเผยฐานข้อมูลจะทำให้ผู้โจมตีสามารถทดสอบการเดารหัสผ่านได้ แต่นั่นดูเหมือนจะไม่ใช่สิ่งที่อาจารย์ของคุณหมายถึง) และปลอดภัยจากการดักฟัง (สมมติว่าปัญหา DLog คือ แข็ง).

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา