home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / protocol / kerberos / 665 < prev    next >
Encoding:
Text File  |  1992-09-03  |  2.2 KB  |  48 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!stanford.edu!snorkelwacker.mit.edu!bloom-picayune.mit.edu!news.mit.edu!jis
  3. From: jis@MIT.EDU (Jeffrey I. Schiller)
  4. Subject: Re: New User Accounts
  5. In-Reply-To: dean@ksr.com's message of Wed, 2 Sep 1992 16:30:16 GMT
  6. Message-ID: <JIS.92Sep3140545@big-screw.MIT.EDU>
  7. Sender: news@athena.mit.edu (News system)
  8. Nntp-Posting-Host: big-screw.mit.edu
  9. Organization: Massachusetts Institute of Technology
  10. References: <199209021630.AA04209@magrathea.ksr.com>
  11. Date: Thu, 3 Sep 1992 19:05:45 GMT
  12. Lines: 34
  13.  
  14. In article <199209021630.AA04209@magrathea.ksr.com> dean@ksr.com writes:
  15.  
  16.    I think one can use a service key to get a ticket and session key for  
  17.    a mutually authenticated private session with a "kerberos-SecurID"  
  18.    server, which is on the same machine as the kerberos server.  
  19.  
  20. You are assuming that each workstation has an /etc/srvtab file. In our
  21. environment that simply isn't true. Furthermore *if* each workstation has
  22. a /etc/srvtab file, it must be get confidential from the users of the
  23. workstation (unless the workstation is only used by one person, i.e.,
  24. it is in their office).
  25.  
  26.    The SecurID code would be sent to this server, and if authenticated  
  27.    by the SecurID software, the kerberos passwd would be changed to the  
  28.    securID code, and then changed to something random 30 seconds later.
  29.  
  30. I would recommend changing this procedure do instead return the TGT
  31. (and associated session key) via the already encrypted channel that
  32. was used to supply the SecurID code (assuming that the code proved
  33. valid). Leave the person's entry in the kerberos database with a random
  34. value (or leave the DES key NULL). This is more secure then:
  35.  
  36.    The client would get initial kerberos tickets as usual using the  
  37.    SecurID code as the password.
  38.  
  39. Many of the SecurID cards that I have seen only have a 5 or 6 digit
  40. value on them. If I watch you login, given your proposal, I can obtain
  41. your TGT and session key encrypted in a value which I *know* is a 5
  42. or 6 digit purely numeric string. I can then do an offline search of
  43. all valid 5 and 6 digit values (and with modern computers and fast DES
  44. software, this can be done quite quickly, easily within the session
  45. lifetime).
  46.  
  47.             -Jeff
  48.