@不喜丶不悲
2年前 提问
1个回答

S/KEY存在的不足主要有哪些

安全小白成长记
2年前

S/KEY存在的不足主要包括:

  • 登录一定次数后须重新初始化口令序列:用户登录一定次数后,客户和服务器必须重新初始化口令序列,因为每次seq要减1。

  • 不适合分布式认证:为了防止重放攻击,系统认证服务器具有唯一性,不适合分布式认证。

  • 不能保证认证服务器的真实性:S/KEY是单向认证(即服务器对客户端进行认证),不能保证认证服务器的真实性。

  • 攻击者可以冒充合法用户:S/KEY使用的种子和迭代值采用明文传输,攻击者可以利用小数攻击来获取一系列口令冒充合法用户。

  • 依赖于MD4/MD5的不可逆性:当这种算法的可逆计算研究有了新进展时,系统将被迫选用其他更安全的算法。

  • 维护困难:维护一个很大的一次性密钥列表也很麻烦,即使提供产生一次性密钥的硬件,所有用户也必须都安装这样的硬件。