Pertanyaan Konsep otentikasi Digest - apakah itu benar-benar bekerja?


Sejauh yang saya mengerti, otentikasi Digest (yang merupakan operasi satu arah) hash password dan mengirimkan data yang di-hash ke server. Server kemudian akan menggunakan kata sandi yang tersimpan, hash dan membandingkan dengan kesetaraan terhadap password hash yang diterima. Seharusnya aman dari serangan pria tengah.

Apa yang saya tidak mengerti adalah jika saya adalah hacker pria tengah, saya tidak memerlukan kata sandi asli. Yah cukup gunakan kata sandi hash karena itu adalah salah satu yang akan dibandingkan dengan server.

Jadi apa gunanya mekanisme otentikasi Digest ini? Tampaknya tidak berfungsi dari ikhtisar umum ini.


5
2017-09-01 12:58


asal


Jawaban:


Otentikasi digest tidak berfungsi seperti yang Anda jelaskan.

  1. Server tidak menyimpan kata sandi unhashed. Server menyimpan hash Username: ranah: kata sandi.
  2. Klien tidak mengirim hash yang sama untuk setiap autentikasi.

Intisari digest adalah protokol respons-respons. Untuk memulai proses, klien meminta URL yang dilindungi dan server merespons dengan ranah dan a nonce. Klien menggunakan ranah dan tidak ada untuk menghitung:

md5(md5(username:realm:password):nonce:md5(httpMethod:uri))

Nonce menyebabkan masing-masing otentikasi untuk menghasilkan nilai hash yang berbeda, dan dengan demikian mencegah serangan replay. Lebih jauh lagi, ia menyediakan beberapa (lemah) perlindungan terhadap penyerang yang mendengarkan komunikasi Anda karena kata sandi plaintext tidak melewati kabel, meskipun ini tidak menghentikan penyerang dari memecahkan hash begitu mereka memilikinya.


13
2017-09-01 14:00