MIT-Kerberos-Bibliothek

Sicherheit nach Maß

von Thorsten Scherf

Mithilfe des Kerberos-Protokolls gelingt eine Anmeldung an einem Service komplett transparent für den Benutzer. Die MIT-Kerberos-Bibliothek erlaubt dabei, unterschiedliche Sicherheitsanforderungen einzelner Dienste umzusetzen. Der Open-Source-Tipp in diesem Monat zeigt, wie dies funktioniert.

Aus IT-Administrator 10/2022

Dass Hackerangriffe auf Unternehmen zunehmen und immer ausgefeilter werden, ist inzwischen eine Binsenweisheit. Das ändert aber nichts an der Tatsache, dass ... (mehr)

Wird ein Benutzer mittels Kerberos an einem Key-Distribution-Center (KDC) authentifiziert, bekommt dieser am Ende des Vorgangs ein Ticket-Granting-Ticket (TGT) ausgestellt. Hiermit ist dann eine transparente Anmeldung an weiteren Kerberos-Diensten möglich. Bevor es jedoch soweit ist, muss der Benutzer initial seine Identität gegenüber dem KDC nachweisen. Dieser Vorgang wird auch als Pre-Authentication bezeichnet und dient als Schutz vor Angreifern, die eine beliebige Anfrage an den Server senden, nur um dann mithilfe eines Wörterbuch- oder Brute-Force Angriffs zu versuchen, an das Benutzerpasswort zu gelangen.

Dies wäre ohne Pre-Authentication möglich, weil der KDC in einem solchen Fall einfach Daten mit einem vom Benutzerpasswort abgeleiteten Schlüssel codiert an den Client senden würde. Angreifer hätten dann jede Menge Zeit, eine Offlineattacke durchzuführen, um so letztendlich an das Benutzerkennwort zu gelangen.