Autenticação Kerberos

Kerberos — nomeado em homenagem ao cão de guarda de três cabeças da mitologia grega — é um protocolo de autenticação de rede de terceiros criado pelo MIT. O Kerberos utiliza criptografia de chave secreta para garantir uma autenticação segura com aplicações cliente/servidor, mesmo em redes não seguras.

Para estabelecer a autenticidade de um utilizador, o cliente e o servidor trocam chaves encriptadas chamadas 'bilhetes' em vez da habitual combinação de ID de utilizador e palavra-passe.

O Kerberos foi concebido para evitar completamente o armazenamento de quaisquer senhas localmente ou o envio de quaisquer senhas através da internet e oferece autenticação mútua, o que significa que tanto a autenticidade do utilizador como a do servidor são verificadas.

Como funciona a autenticação Kerberos

Cada utilizador dentro de um sistema — referido como "principal" — começa com um bilhete único. Estes bilhetes são emitidos pelo servidor de autenticação, também conhecido como Centro de Distribuição de Chaves Kerberos — comumente referido como KDC — e são usados para identificar principais específicos. O bilhete é encriptado com uma chave secreta e armazena várias informações sobre as credenciais de um principal.

Esta chave secreta é um segredo partilhado apenas entre o servidor de autenticação e o servidor que o cliente está a tentar aceder, portanto, o cliente que solicitou o bilhete não pode conhecer ou alterar nenhum dos conteúdos do bilhete emitido. O Kerberos também utiliza encriptação de chave simétrica, o que significa que a mesma chave é usada para encriptar e desencriptar.

O bilhete geralmente contém informações sobre o principal, incluindo:

• A chave de sessão
• A identificação do utilizador solicitante - normalmente, é um nome de utilizador
• O servidor / serviço para o qual é a solicitação
• O endereço IP do lado do cliente do dispositivo que está autorizado a usar o bilhete específico
• O tempo até à expiração do bilhete (geralmente 10 horas)
• A hora de geração do bilhete

O administrador do reino Kerberos (a coleção de máquinas e principais) pode impedir a emissão de bilhetes para certos utilizadores, mas não consegue revogar um bilhete depois de emitido. Portanto, é importante que cada bilhete tenha um tempo de expiração associado.

Para receber um bilhete, o cliente envia um pedido ao servidor de autenticação que inclui informações sobre o servidor ao qual deseja conectar-se. O servidor de autenticação verifica então se o nome de utilizador do cliente está na base de dados do KDC. Se o nome de utilizador for válido, o servidor de autenticação cria e emite um bilhete com uma chave de sessão anexada. Com este processo, a palavra-passe do utilizador nunca precisa de ser armazenada numa forma não encriptada, mesmo na base de dados do servidor de autenticação.

Sempre que a informação é enviada de um lado para o outro através da internet, essa informação tem uma exposição aumentada a fontes externas, incluindo potenciais atacantes maliciosos. Os hackers frequentemente utilizam ferramentas para tentar extrair passwords das redes à medida que estas são enviadas de um lado para o outro. É devido a esta vulnerabilidade que é muito mais seguro garantir sempre que, quando uma password é enviada através de uma rede, ela está encriptada. A autenticação de password Kerberos assegura que isto é verdade e também verifica a identidade do cliente que envia o pedido.

Firewalls são uma boa forma de defesa contra intrusões externas ou hackers maliciosos, mas geralmente operam sob a suposição de que os ataques vêm de fora de uma rede. Isto deixa a porta totalmente aberta para ataques realizados por pessoas que já têm acesso à rede. O processo de autenticação Kerberos, por outro lado, funciona independentemente da localização da potencial intrusão.