home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / protocol / kerberos / 654 < prev    next >
Encoding:
Text File  |  1992-09-02  |  2.9 KB  |  71 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!stanford.edu!news
  3. From: bagate!socrates!bf4grjc (Ganesan)
  4. Subject: Re: New User Accounts
  5. Message-ID: <9209022142.AA21513@einstein.wash.bell-atl.com>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. References: <9209021949.AA17532@deathtongue.MIT.EDU>
  9. Date: Wed, 2 Sep 1992 21:42:08 GMT
  10. Lines: 59
  11.  
  12. ravi@socrates.bell-atl.com
  13. X-Mailer: ELM [version 2.3 PL8]
  14.  
  16. > The solution here is not a simple one, so suggestions are open!
  18. Here at Bell Atlantic we have a major V.5 deployemnet planned, 
  19. concurrent with a major token authenticator deployement. And in 
  20. looking at this problem agree that it is hardly simple.
  21.  
  22. > (The real solution is to throw away SecurID as a method of
  23. > login-password-authentication and extend kerberos all the way across
  24. > the modem to the terminal.)
  26. However, throwing away SecureID is NOT any solution at all. 
  27. Lets assume, that by some majic Kerberos gets deployed on every 
  28. terminal in every location (e.g. its already availble for PCs to 
  29. some extent, X-Terminals have it, so this is not very far fetched..).
  30.  
  31. What problem do you solve? 
  32. Type 1. Cleartext passwords over supposedly insecure channels.
  33.  
  34. What problem does it NOT solve? 
  35. Type 2. Password weakness problems:
  36.  - password guessing 
  37.  - dictionary attacks
  38.  - intentional password sharing
  39.  - unintentional password sharing /* That little Post-It note.... */
  40.  - enforcing accountability /* i.e. you can never prove intentional password 
  41.    sharing; a guilty user can always claim someone guessed his password */
  42.  
  43. Analysis of security break-ins across many corporations (and I bet its 
  44. the same for the University world) shows that the major source of threats 
  45. are Type 2 problems. 
  46.  
  47. Most academic work on cryptographic protocol security has focussed on 
  48. Type 1 problems. Probably because it is the more interesting and tractable 
  49. problem. Kerberos is a good example of the tremendous steps taken towards 
  50. solving Type 1 problems.
  51.  
  52. Meanwhile in the real world, where Type 2 problems cost companies millions 
  53. of dollars, solutions such as SecureID, which take strong steps towards 
  54. solving Type 2 problems, ARE EXTREMELY IMPORTANT.
  55.  
  56. Please note: This is not meant to trivialize the Kerberos work; it is 
  57. also very important, and the smarter your average hacker gets, the more 
  58. important Type-1 problems will get. But it must be realized that methods 
  59. of solving Type-2 problems (e.g. the recent Kerberos work to protect against 
  60. dictionary attacks using public-key, Secure ID type systems, etc.) are
  61. vital to closing the doors most often used by hackers.
  62.  
  63.  
  64. -Ravi
  65.  
  66. *****************************************************************************
  67. Ravi Ganesan                e-mail: ravi.ganesan@bell-atl.com
  68. IS SAS Corporate Network Planning    v-mail: (301) 595-8439
  69. Bell Atlantic                fax:    (301) 595-1341
  70. *****************************************************************************
  71.