1.6. Environmental Assumptions (环境假设)
Kerberos 对其能够正常运行的环境施加了一些假设, 包括以下内容:
-
"拒绝服务 (Denial of service)" 攻击不能用 Kerberos 解决。在协议中有一些地方, 入侵者可以阻止应用程序参与适当的认证步骤。此类攻击 (其中一些可能看起来像系统不常见的 "正常" 故障模式) 的检测和解决通常最好留给人工管理员和用户。
-
主体必须 (MUST) 保持其密钥的机密性。如果入侵者以某种方式窃取了主体的密钥, 它将能够冒充该主体或向合法主体冒充任何服务器。
-
"密码猜测 (Password guessing)" 攻击不能用 Kerberos 解决。如果用户选择了一个弱密码, 攻击者可能会通过使用从字典中连续条目重复尝试解密在从用户密码派生的密钥下加密的获得的消息来成功发起离线字典攻击。
-
网络上的每个主机必须 (MUST) 有一个与其他主机的时间 "松散同步 (loosely synchronized)" 的时钟; 此同步用于减少应用程序服务器在执行重放检测时的簿记需求。"松散" 的程度可以在每个服务器的基础上配置, 但通常在 5 分钟左右。如果时钟通过网络同步, 时钟同步协议本身必须 (MUST) 免受网络攻击者的攻击。
-
主体标识符不会在短期内回收。典型的访问控制模式将使用访问控制列表 (Access Control Lists, ACL) 向特定主体授予权限。如果已删除主体的过时 ACL 条目仍然存在并且主体标识符被重用, 则新主体将继承过时 ACL 条目中指定的权限。通过不重用主体标识符, 消除了无意访问的危险。