¿Cómo funciona el protocolo ayuda de desafío-respuesta contra los ataques man-in-the-middle?

Question

¿Cómo previene autentificación en respuesta a los ataques man-in-the-middle? He leído el artículo del wiki, pero todavía no puedo entender.

Answer 1

En general, los sistemas de desafío-respuesta no impide necesariamente que el hombre-en-medio-ataques: Si Alice está tratando de decirle a Bob su número de cuenta bancaria, este protocolo, lo que implementar algún desafío y respuesta, no lo hará proporcionar integridad o privacidad:

Alice: Bob, is that you?  // first challenge
Bob: Yes, Alice, it is me, is that you? // first response, second challenge
Alice: Yes! Great. My account number is 314159. // second response, and result

Mallory podría contestar "sí" en lugar de Alice o Bob, podría fingir el tercer 'resultado' del mensaje, o podría escuchar en el tercer mensaje.

Incluso si se mejoran los desafíos, a algo como: "Por favor, picadillo 0x31415926 colocado al comienzo de nuestra contraseña compartida", los datos transmitidos en los (sistemas de cifrado o bajo débil / pobres o con una mala selección de clave) borrar estaría sujeto a la pérdida de privacidad y los datos transmitidos sin ninguna comprobación de autenticación de mensajes podrían ser objeto de modificación por un tercero.

Cuando los protocolos de desafío / respuesta realmente brillan es en la prevención de replay ataques: si Alice simplemente envía a Bob un mensaje en la línea de "Con cargo a mi cuenta de $ 5 y acreditar su cuenta $ 5", Mallory podría grabar el mensaje y replay el mensaje a agotar la cuenta de Alice.

Un buen sistema de desafío / respuesta generará un nuevo reto para cada transacción o sesión (y asegurarse de que los problemas anteriores no se reutilizan!), Por lo que las transcripciones de sesión no pueden empalmarse juntos para crear nuevos sistemas fraudulentos.

Espero que esto ayude, pero me temo que sin idea más detallada de dónde están sus dudas están viniendo, que va a ser sólo ruido.

Answer 2

usuario sarnold ya proporciona una buena respuesta , me gustaría atención arrastre a la siguiente.

resuelve desafío-respuesta a dos problemas - hace que el envío el secreto en texto plano innecesario (hash como producto es enviado) y previene ataques de repetición (ya que los desafíos cambian cada vez). No sirve de nada más allá de eso - no autentica a nadie a nadie por sí solo, es sólo una mejora de un protocolo de texto plano en el que el cliente envía su nombre de usuario y contraseña (el secreto) y el servidor decide si esas son correctos .

Así que si hay algún partido en el medio que ayuda no detectará o prevenir que se hagan pasar como cliente para esa sesión específica, sin embargo, esa parte no tendrá acceso al secreto, ya que el secreto nunca se envía en texto sin formato y que las partes no será capaz de hacerse pasar de nuevo por hacer una repetición -. sólo puede funcionar suplantado durante esa misma sesión