Kerberos

O Kerberos foi desenvolvido no MIT e padronizado pelo RFC 4120. O cliente autentica-se junto do Centro de Distribuição de Chaves (KDC), que emite um Ticket-Granting Ticket (TGT). Com o TGT, o cliente solicita tickets de serviço para servidores específicos, evitando reenviar a palavra-passe. Os tickets têm tempo de vida limitado e são cifrados com chaves partilhadas, oferecendo autenticação mútua e resistência a replay. O Kerberos sustenta a autenticação no Active Directory, em vários domínios Linux/Unix e em instalações Hadoop. As fraquezas conhecidas incluem ataques a palavras-passe fracas de contas de serviço (Kerberoasting), tickets falsificados (Golden/Silver Ticket) e problemas de desfasamento de relógio; as defesas modernas combinam segredos fortes, cifra AES exclusiva e delegação restrita.