7
चुनौती-प्रतिक्रिया प्रमाणीकरण मैन-इन-द-बीच हमलों को कैसे रोकता है? मैंने विकी लेख पढ़ा लेकिन फिर भी मैं समझ नहीं पा रहा हूं।चुनौती-प्रतिक्रिया प्रोटोकॉल मैन-इन-द-बीच हमलों के खिलाफ कैसे मदद करता है?
A
उत्तर
8
सामान्य रूप से, चुनौती-प्रतिक्रिया प्रणाली जरूरी नहीं है कि हम मनुष्यों के बीच-हमले को रोक दें: यदि ऐलिस बॉब को अपना बैंक खाता संख्या बताने की कोशिश कर रहा है, तो यह प्रोटोकॉल, जो कुछ चुनौती और प्रतिक्रिया को लागू करता है,
Alice: Bob, is that you? // first challenge
Bob: Yes, Alice, it is me, is that you? // first response, second challenge
Alice: Yes! Great. My account number is 314159. // second response, and result
मैलोरी "हाँ" या तो ऐलिस या बॉब के स्थान पर जवाब दे, नकली तीसरे 'परिणाम' संदेश, या में तीसरा संदेश पर सुनने सकता है हो सकता है: टी अखंडता या गोपनीयता प्रदान करते हैं।
यहां तक कि अगर चुनौतियों में सुधार हुआ है, तो कुछ भी इस तरह के लिए: "कृपया हमारे साझा पासवर्ड पर हर्ष 0x31415926 तैयार किया गया है", स्पष्ट (या कमजोर/गरीब सिफर या खराब कुंजी चयन के साथ) में प्रेषित डेटा के नुकसान के अधीन होगा गोपनीयता, और किसी भी संदेश प्रमाणीकरण जांच के बिना प्रेषित डेटा किसी तीसरे पक्ष द्वारा संशोधन के अधीन हो सकता है।
कहाँ चुनौती/प्रतिक्रिया प्रोटोकॉल वास्तव में चमक पुनरावृत्ति हमलों को रोकने में है: ऐलिस सिर्फ बॉब की तर्ज पर एक संदेश भेजता है, तो "मेरा खाता $ 5 से डेबिट और अपने खाते $ 5 क्रेडिट कृपया", मैलोरी संदेश और रिकॉर्ड कर सकते एलिस के खाते को कम करने के लिए संदेश रीप्ले करें।
एक अच्छी चुनौती/प्रतिक्रिया प्रणाली प्रत्येक लेनदेन या सत्र के लिए एक नई चुनौती उत्पन्न करेगी (और सुनिश्चित करें कि पिछली चुनौतियों का पुन: उपयोग नहीं किया गया है!), ताकि नई धोखाधड़ी प्रणाली बनाने के लिए सत्र प्रतिलेखों को एक साथ विभाजित नहीं किया जा सके।
मुझे आशा है कि इससे मदद मिलेगी, लेकिन मुझे डर है कि आपके संदेह कहां से आ रहे हैं, यह सिर्फ शोर होगा।
+0
सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग कर एक चुनौती प्रतिक्रिया प्रणाली मध्य हमले में आदमी को खत्म करने में मदद करेगा? – user574183
+0
@ user574183: आप सार्वजनिक कुंजी क्रिप्टोग्राफ़ी का उपयोग कैसे करना चाहेंगे? – sharptooth
+0
क्या ये सिस्टम सममित कुंजी पर काम करते हैं? – user574183
3
User sarnold पहले से ही a good answer प्रदान करता है, मैं निम्नलिखित पर ध्यान खींचना चाहता हूं।
चुनौती-प्रतिक्रिया दो समस्याओं को हल करती है - सादे टेक्स्ट में रहस्य भेजना अनावश्यक (हैश-जैसे उत्पाद भेजा जाता है) और रीप्ले हमलों को रोकता है (चूंकि हर बार चुनौतियां बदलती हैं)। यह उससे परे कुछ भी नहीं करता है - यह किसी को भी किसी को भी प्रमाणित नहीं करता है, यह केवल सादा पाठ प्रोटोकॉल का सुधार है जहां ग्राहक अपना उपयोगकर्ता नाम और पासवर्ड भेजता है (गुप्त) और सर्वर यह तय करता है कि वे सही हैं या नहीं ।
तो यदि मध्य में कुछ पार्टी है तो यह उस विशिष्ट सत्र के लिए ग्राहक के रूप में प्रतिरूपण करने से रोकने में मदद नहीं करेगी, फिर भी वह पार्टी गुप्त तक पहुंच नहीं पाएगी, क्योंकि रहस्य कभी नहीं भेजा जाता है सादा पाठ, और वह पार्टी फिर से प्रतिलिपि करके प्रतिरूपण करने में असमर्थ रहेगी - यह केवल उस सत्र के दौरान प्रतिरूपित काम कर सकती है।
+0
ठीक है यह चुनौती/प्रतिक्रिया प्रमाणीकरण मध्य हमले में एक आदमी केवल तभी संभव है जब मध्य एक गुप्त कुंजी जानता हो। यदि कुंजी ज्ञात है तो वह चुनौती को डिक्रिप्ट करने और चुनौती का सही जवाब देने में सक्षम होगा, क्या मैं सही हूं? – user574183
+0
@ user574183: सबसे पहले चुनौती अनएन्क्रिप्टेड भेजी जाती है, रहस्य का उपयोग रहस्य के साथ चुनौती को गठबंधन करने के लिए किया जाता है। यदि पार्टी-इन-द-बीच गुप्त को जानता है तो यह किसी भी समय किसी ग्राहक के रूप में प्रतिरूपण कर सकता है - यह गुप्त पता है, इसलिए सर्वर इसके और ग्राहक के बीच अंतर नहीं कर सकता है। यह रहस्य को जानने के बावजूद पहले से ही प्रगति में एक सत्र में हस्तक्षेप कर सकता है - रहस्य केवल तह शुरुआत में ही प्रयोग किया जाता है, इसका उपयोग सत्र के दौरान भेजे जाने वाले डेटा के लिए नहीं किया जाता है। – sharptooth
+0
अच्छी तरह से कहा! धन्यवाद। – sarnold
संबंधित मुद्दे
- 1. क्या एचटीटीपीएस सीएसआरएफ हमलों के खिलाफ सुरक्षा करता है?
- 2. ठंड बूट हमलों के खिलाफ: हास्केल
- 3. डॉस हमलों के खिलाफ अपने आप को सुरक्षित रखें
- 4. एसक्यूएल सर्वर: इंजेक्शन हमलों के खिलाफ @param sanitizing
- 5. नेटवर्क टाइम प्रोटोकॉल कैसे काम करता है?
- 6. संभावित सामग्री फर्जीज़ के खिलाफ पुशस्टेट कैसे सुरक्षा करता है?
- 7. जीआईटी और एसवीएन के खिलाफ Mercurial कैसे ढेर करता है?
- 8. क्या एएसपी.नेट एमवीसी में एंटीफोर्गेरी टोकन सभी सीएसआरएफ हमलों के खिलाफ रोकता है?
- 9. क्या PHP संसाधनों तक पहुंचने पर PHP के फॉपेन() सामान्य हमलों के खिलाफ सुरक्षा करते हैं?
- 10. कोको यूआई और सामान्य ढांचे के तत्व दुर्भावनापूर्ण हमलों के खिलाफ कितने अच्छे हैं?
- 11. एक्सएसएस हमलों को रोकना
- 12. हैशटेबल के साथ मदद करता है जो सी #
- 13. वेबस्टेस में रीप्ले अटैक को रोकने में टाइमस्टैम्प कैसे मदद करता है
- 14. क्या एक यूआरआई प्रोटोकॉल शामिल करता है?
- 15. यूआरएल प्रमाणीकरण - प्रोटोकॉल के बिना यूआरएल स्वीकार करता है
- 16. Grails में XSRF के खिलाफ आप कैसे रक्षा करते हैं?
- 17. mysql प्रोटोकॉल में प्रमाणीकरण कितना सुरक्षित है?
- 18. क्या विंडोज़ एज़ूर के पास सेवा हमलों से इंकार करने के खिलाफ कुछ भी आसानी से उपलब्ध है?
- 19. कैसे एसक्यूएल इंजेक्शन काम करता है और कैसे मैं के खिलाफ की रक्षा करते हैं यह
- 20. रोकथाम MITM हमलों
- 21. छवि क्लस्टरिंग छवि या पैटर्न पहचान में मदद करता है
- 22. स्वचालन के खिलाफ सुरक्षा
- 23. एसएमपीपी प्रोटोकॉल क्या है?
- 24. नीति के खिलाफ रणनीति और रणनीति के खिलाफ नीति
- 25. uwsgi प्रोटोकॉल और wsgi प्रोटोकॉल के बीच क्या अंतर है?
- 26. एसीएम आईसीपीसी ऑनलाइन न्यायाधीश दुर्भावनापूर्ण हमलों को कैसे रोकता है?
- 27. कैसे एक जेआईटी संकलक अनुप्रयोगों के प्रदर्शन में मदद करता है?
- 28. प्रोटोकॉल
- 29. शून्य के खिलाफ कितने चेक उचित है?
- 30. जावास्क्रिप्ट छद्म प्रोटोकॉल वास्तव में क्या करता है?
क्या कोई विशिष्ट विशिष्ट है जिसे आप समझ में नहीं आते हैं? – sarnold
क्या आप इस लिंक को पढ़ रहे हैं? http://en.wikipedia.org/wiki/Challenge-response_authentication हाँ, मुझे लगता है कि यह भ्रमित है। –