パスワードが事前共有されている場合、アリスとボブの間の安全な通信のため。そのパスワードを通信のセッションキーとして使用すべきではないのはなぜですか?
質問する
344 次
3 に答える
4
この通信セッションでは、おそらく大量のデータを送信するためです。このデータは、パスワードを検出するために使用される可能性があります。
セッションキーを使用する場合、それは1セッションの期間のみ有効であるため、パスワードが危険にさらされても、パスワードは安全に保たれます。さらに、このセッションキーは定期的に変更されるため、発見される可能性は低くなります。そのため、攻撃者が利用できるデータの量は制限されます。
于 2013-03-07T09:03:59.937 に答える
1
攻撃者がユーザーからサーバーに送信されたデータを発見したと想像してみてください。パスワードをセッションキーとして使用している場合、攻撃者はあなたのアカウントに完全にアクセスできます。
ランダムキーを使用する場合、攻撃者はセッションキーが有効である間(数分、数時間など)にのみアカウントにアクセスできます。
パスワードが別のWebサイト(メールなど)でも使用されている可能性があるため、攻撃者はさらに多くのアカウントにアクセスできます。
ただし、セッションキーは通常、ユーザーのIPおよびその他の関連情報に関連付けられているため、この例は現実的ではありません。つまり、攻撃者はセッションキーを使用するためにも、自身のIPを偽造する必要があります。
これが、古いパスワードを入力せずにパスワードを変更できないサイトがある理由でもあります。これは、攻撃者がセッションを乗っ取った場合、攻撃者があなたのアカウントを乗っ取ることができないためです。アカウントのすべての重要な変更(電子メール、パスワードなど)は、セッションハイジャックが重大なセキュリティ問題にならないように、[パスワードの入力]フィールドで保護する必要があります(これはセキュリティの問題ですが、一時的なものであり、重大ではありません)。 。
于 2013-03-07T09:30:21.863 に答える
0
パスワードは通常短すぎ、ランダムにはほど遠いため、エントロピーが攻撃される可能性があり、同じままであるため、取得した知識は将来のセッションで使用される可能性があります。最終的には、1850年以来壊れやすいことが知られている一種のヴィジュネル暗号です。これが「十分」であるかどうかは、自分で判断する必要があります。
于 2013-03-07T09:25:40.730 に答える