احراز هویت مختصر

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو

احراز هویت مختصر یکی از روش توافقی روی یک سرویس دهنده وب است که می تواند یک کلربر را با استفاده از مرورگر وب تشخیص دهد. این متد از یک تابع هش برای ارسال رمز عبور از طریق شبکه که امن تر از تشخیص هویت پایه است استفاده می کند. تشخیص هویت مختصر از MD5 برای رمزنگاری استفاده می کند. اثر امنیتی MD5 بر تشخیص هویت مختصر محاسبات MD5 که در HTTP استفاده می شود یک الگوریتم یک طرفه است به این معنی که بعد از رمزنگاری تقریباً تشخیص ورودی غیر ممکن است. اگر رمز عبور بیش از حد ساده باشد، ممکن است با استفاده از تست همه ورودی های ممکن و پیدا کردن یک خروجی تطبیق پذیر، رمز را یافت. شاید با مشاهده یک فرهنگ لغت مناسب!

ویژگی های تشخیص هویت مختصر در HTTP[ویرایش]

مزایا[ویرایش]

احراز هویت مختصر به منظور امنیت بیشتر نسبت به طراحهای قدیم طراحی شده است. بعضی از نقات قوت تشخیص هویت مختصر عبارتند از:

  • رمز عبور مستقیم بکار گرفته نمی‌شود.
  • کلاینت nonce در RFC 2617 معرفی شد که به مشتری اجازه می دهد رمز عبورش هک نشود.
  • سرور اجازه دارد که لیست nonce ها را جهت جلوگیری از حملات نگهداری کند.

معایب[ویرایش]

از لحاظ امنیتی، چندین اشکال در احراز هویت خلاصه وجود دارد:

  • تعدادی از موارد امنیتی در RFC 2617 انتخابی است.اگر سرور این موارد را پشتیبانی نکند، مشتری در سطح امنیتی کاهش یافته ی RFC 2069 قرار خواهد گرفت.
  • احراز هویت مختصر در مقابل حمله man-in-the-middle آسیب پذیر است.
  • بعضی سرور ها درخواست رمزعبور برای انقضای داده ی رمز شده می کنند.

مثال[ویرایش]

یک تراکنش های معمولاً مراحل زیر را طی می کند.

  • کاربر یک صفحه که نیاز به تشخیص هویت را دارد اما نام کاربری و رمز عبور ندارد.
  • سرور با ارور 401 پاسخ میدهد و کاربر را به یک صفحه تشخیص هویت هدایت می کند.
  • در این زمان مرورگر به کاربر یک صفحه تشخیص هویت جهت ورود نام کاربری و رمز عبور نمایش می دهد.
  • نام کاربری و رمز عبور به سرور فرستاده می شود.
  • اگر نام کاربری و رمز عبور درست باشد سرور اجازه ورود به کاربر می دهد و در غیر این صورت وی را به صفحه احراز هویت هدایت میکند.

منابع[ویرایش]