Kerberos

Kerberos a été développé au MIT et normalisé dans le RFC 4120. Le client s'authentifie auprès du Centre de Distribution de Clés (KDC), qui lui délivre un Ticket-Granting Ticket (TGT). Avec ce TGT, le client demande des tickets de service pour chaque serveur, évitant de renvoyer son mot de passe. Les tickets sont à durée limitée et chiffrés avec des clés partagées, offrant authentification mutuelle et résistance au rejeu. Kerberos est au cœur de l'authentification dans Active Directory, de nombreux royaumes Linux/Unix et des déploiements Hadoop. Ses faiblesses connues incluent les attaques sur les mots de passe faibles de comptes de service (Kerberoasting), les tickets forgés (Golden/Silver Ticket) et les problèmes de dérive d'horloge ; les défenses modernes combinent des secrets forts, du chiffrement AES uniquement et la délégation contrainte.