احراز هویت مختصر

احراز هویت مختصر یکی از روش توافقی روی یک سرویس دهنده وب است که می‌تواند یک کاربر را با استفاده از مرورگر وب تشخیص دهد. این متد از یک تابع هش برای ارسال رمز عبور از طریق شبکه که امن تر از تشخیص هویت پایه است استفاده می‌کند. تشخیص هویت مختصر از MD5 برای رمزنگاری استفاده می‌کند. اثر امنیتی MD5 بر تشخیص هویت مختصر محاسبات MD5 که در HTTP استفاده می‌شود یک الگوریتم یک طرفه است به این معنی که بعد از رمزنگاری تقریباً تشخیص ورودی غیرممکن است. اگر رمز عبور بیش از حد ساده باشد، ممکن است با استفاده از تست همه ورودی‌های ممکن و پیدا کردن یک خروجی تطبیق پذیر، رمز را یافت. شاید با مشاهده یک فرهنگ لغت مناسب!

ویژگی‌های تشخیص هویت مختصر در HTTP

مزایا

احراز هویت مختصر به منظور امنیت بیشتر نسبت به طراحهای قدیم طراحی شده‌است. بعضی از نقات قوت تشخیص هویت مختصر عبارتند از:

رمز عبور مستقیم بکار گرفته نمی‌شود.
کلاینت nonce در RFC 2617 معرفی شد که به مشتری اجازه می‌دهد رمز عبورش هک نشود.
سرور اجازه دارد که لیست nonceها را جهت جلوگیری از حملات نگهداری کند.

معایب

از لحاظ امنیتی، چندین اشکال در احراز هویت خلاصه وجود دارد:

تعدادی از موارد امنیتی در RFC 2617 انتخابی است. اگر سرور این موارد را پشتیبانی نکند، مشتری در سطح امنیتی کاهش یافتهٔ RFC 2069 قرار خواهد گرفت.
احراز هویت مختصر در مقابل حمله man-in-the-middle آسیب‌پذیر است.
بعضی سرورها درخواست رمزعبور برای انقضای دادهٔ رمز شده می‌کنند.

مثال

یک تراکنش معمولاً مراحل زیر را طی می‌کند.

کاربر یک صفحه که نیاز به تشخیص هویت را دارد اما نام کاربری و رمز عبور ندارد.
سرور با ارور ۴۰۱ پاسخ می‌دهد و کاربر را به یک صفحه تشخیص هویت هدایت می‌کند.
در این زمان مرورگر به کاربر یک صفحه تشخیص هویت جهت ورود نام کاربری و رمز عبور نمایش می‌دهد.
نام کاربری و رمز عبور به سرور فرستاده می‌شود.
اگر نام کاربری و رمز عبور درست باشد سرور اجازه ورود به کاربر می‌دهد و در غیر این صورت وی را به صفحه احراز هویت هدایت می‌کند.

منابع

ویکی‌پدیا انگلیسی

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.