home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / protocol / kerberos / 832 < prev    next >
Encoding:
Internet Message Format  |  1992-11-04  |  2.2 KB
  1. Path: sparky!uunet!olivea!spool.mu.edu!agate!stanford.edu!DUKE.CS.UNLV.EDU!greg
  2. From: greg@DUKE.CS.UNLV.EDU (Greg Wohletz)
  3. Newsgroups: comp.protocols.kerberos
  4. Subject: Re: Local password validation (was: kerberizing xlock)
  5. Message-ID: <9211050649.AA24026@Athena.MIT.EDU>
  6. Date: 5 Nov 92 06:44:07 GMT
  7. References: <9211011923.AA26353@portnoy.MIT.EDU>
  8. Sender: news@shelby.stanford.edu (USENET News System)
  9. Organization: Internet-USENET Gateway at Stanford University
  10. Lines: 39
  11.  
  12. >In summary, here is a timeline showing the attack:
  13. >
  14. >1.  login sends tgt request {U,TGS} to KDC
  15. >2.  attacker responds with {U,TGS}_fake
  16. >3.  KDC responds with error, login is no longer listening
  17. >4.  attacker enters correct fake password for {U,TGS}_fake
  18. >
  19. >5.  login sends service ticket {U,V} reques to KDC
  20. >6.  attacker responds with {U,V}_fake using session key from {U,TGS}_fake
  21. >7.  KDC responds with error, login is no longer listening
  22. >8.  login's decryption succeeds
  23. >
  24. >9.  login sends mutual auth request to V
  25. >10. attacker responds to mutual auth request 
  26. >11. V responds with error, login is no longer listening
  27. >12. login is tricked
  28.  
  29. OK,  now  I  see what  your  getting  at,  and  I  agree  that  it  is
  30. theoretically possible  to accomlish  this.   I think that V  could be
  31. designed  and  located on the  network in such  a way as to  make this
  32. attact extremely difficult, if not impossible, I'll have to think more
  33. on that.  Anyway, In our environment I still feel  OK about using this
  34. scheme to  accomplish  login  authentication as I'm  not  particularly
  35. concerned  if  an imposter gains access to a workstation cpu since all
  36. he would not actually be able to  do anything usefull (nfs, pop,  etc.
  37. all require kerberos authentication), and its annoying to have to have
  38. multiple passwords floating around.  I  don't think anyone will  go to
  39. that  much trouble just to gain access to a workstation with no usable
  40. disk space, far easier to gain  root access  through the rom monitor I
  41. should think...
  42.  
  43. >KERBEROS IS A NETWORK AUTHENTICATION SYSTEM, NOT A PASSWORD VALIDATION
  44. SYSTEM.  If you use it as the latter, you must exercise extreme
  45. >caution.  In particular, using Kerberos for screensaver/keyboard lock
  46. >programs is a tricky business.
  47.  
  48. So it would appear.
  49.  
  50.                     --Greg
  51.