Kerberos

Kerberos wurde am MIT entwickelt und in RFC 4120 standardisiert. Der Client authentifiziert sich beim Key Distribution Center (KDC) und erhält ein Ticket-Granting Ticket (TGT). Mit diesem TGT fordert er anschließend Service-Tickets für einzelne Server an, ohne das Passwort erneut zu übertragen. Tickets sind zeitlich begrenzt und mit gemeinsamen Schlüsseln verschlüsselt; das ermöglicht gegenseitige Authentifizierung und Schutz gegen Replay-Angriffe. Kerberos bildet die Grundlage der Authentifizierung in Active Directory, vielen Linux/Unix-Realms und Hadoop-Installationen. Bekannte Schwächen sind Angriffe auf schwache Service-Account-Passwörter (Kerberoasting), gefälschte Tickets (Golden/Silver Ticket) und Zeitsynchronisationsprobleme; moderne Maßnahmen sind starke Service-Geheimnisse, ausschließlich AES und Constrained Delegation.