69 подписчиков
Чем заменить протокол Kerberos?
Протокол Kerberos был изначально разработан в Массачусетском технологическом институте (MIT) в 1988 году, чтобы университет мог безопасно аутентифицировать сетевых пользователей и разрешать им доступ к определенным ресурсам, таким как хранилище и базы данных. В то время компьютерные сети аутентифицировали пользователей с помощью идентификаторов пользователей и паролей, которые передавались в незашифрованном виде в виде простого текста. Это позволяло злоумышленникам перехватывать учетные данные пользователей и использовать их для взлома сети MIT.
Возможно в России, где-то в ИКСИ или Бауманском университете или в организации, которая хочет показать свою экспертизу разработают аналог, но такого не происходит. Почему?
Реально, протоколы и схема аутентификации и авторизации в Microsoft Active Directory требуют пересмотра, потому что организации взламывают через pass the hash, NTLM relay, golden ticket, kerberoasting и др.
Международное сообщество не может, потому что все уже на этом основано. А у нас мы все это меняем и строим новый мир. Сейчас самое время разработать свой аналог Kerberos.
В стране огромное количество хороших математиков.
Если в США студенты смогли, то сейчас, на основе имеющихся знаний сделать с нуля получится более качественно и мы забудем про все атаки, перечисленные выше.
Проблема лишь управленческая: у проекта должен появиться заказчик и спонсор.
У меня идея: создать в университетах кафедры аутентификации и авторизации, с целью улучшить это. Чтобы появились люди, глубоко знающие, AD, PKI, CA, KERBEROS, 802.1x, LDAP, RADIUS, TACACS+, SAML, OCSP, SSO. Какой университет готов?
1 минута
5 июля 2024