Ngăn chặn giao thức Kerberos

Giao thức xác thực Kerberos bao gồm một số biện pháp đối phó. Trong trường hợp cổ điển của một cuộc tấn công phát lại, một thông điệp được bắt bởi một kẻ thù và sau đó phát lại vào một ngày sau đó để tạo hiệu ứng. Ví dụ: nếu một chương trình ngân hàng dễ bị tấn công, một thông điệp dẫn đến việc chuyển tiền có thể được phát lại nhiều lần để chuyển nhiều tiền hơn dự định ban đầu. Tuy nhiên, giao thức Kerberos, được triển khai trong nhiều phiên bản LDAP và Microsoft Windows Active Directory, bao gồm việc sử dụng sơ đồ liên quan đến tem thời gian để hạn chế nghiêm trọng hiệu quả của các cuộc tấn công phát lại. Các tin nhắn đã qua "thời gian để sống (TTL)" được coi là cũ và bị loại bỏ.[2]

Đã có những cải tiến được đề xuất, bao gồm cả việc sử dụng sơ đồ ba mật khẩu. Ba mật khẩu này được sử dụng với máy chủ xác thực, máy chủ cấp vé và TGS. Các máy chủ này sử dụng mật khẩu để mã hóa tin nhắn bằng các khóa bí mật giữa các máy chủ khác nhau. Mã hóa được cung cấp bởi ba khóa này giúp hỗ trợ ngăn chặn các cuộc tấn công phát lại.[3]

Định tuyến an toàn trong các mạng ad hoc

Mạng ad hoc không dây cũng dễ bị tấn công lại. Trong trường hợp này, hệ thống xác thực có thể được cải thiện và mạnh hơn bằng cách mở rộng giao thức AODV. Phương pháp cải thiện bảo mật của mạng Ad Hoc này làm tăng tính bảo mật của mạng với một lượng nhỏ chi phí.[4] Nếu phải có chi phí hoạt động rộng thì mạng sẽ có nguy cơ trở nên chậm hơn và hiệu suất của nó sẽ giảm. Vì vậy, bằng cách giữ chi phí tương đối thấp, mạng có thể duy trì hiệu suất tốt hơn trong khi vẫn cải thiện bảo mật.

Giao thức xác thực bắt tay

Xác thực và đăng nhập bởi khách hàng sử dụng Giao thức điểm-điểm (PPP) dễ bị trả lời các cuộc tấn công khi sử dụng Giao thức xác thực mật khẩu (PAP) để xác thực danh tính của họ, vì khách hàng xác thực gửi tên người dùng và mật khẩu của mình " rõ ràng ", và máy chủ xác thực sau đó gửi xác nhận của mình để đáp lại điều này; do đó, một máy khách chặn có thể tự do đọc dữ liệu được truyền và mạo danh từng máy khách và máy chủ khác, cũng như có thể lưu trữ thông tin đăng nhập của khách hàng để sau đó mạo danh máy chủ. Giao thức xác thực bắt tay thử thách (CHAP) bảo vệ chống lại loại tấn công phát lại này trong giai đoạn xác thực bằng cách sử dụng thông báo "thử thách" từ trình xác thực mà khách hàng phản hồi với giá trị được tính toán băm dựa trên bí mật chung (ví dụ: mật khẩu của khách hàng), mà trình xác thực so sánh với tính toán riêng của thử thách và chia sẻ bí mật để xác thực ứng dụng khách. Bằng cách dựa vào một bí mật chung chưa được truyền đi, cũng như các tính năng khác như lặp lại các thách thức do người xác thực kiểm soát, và thay đổi định danh và giá trị thách thức, CHAP cung cấp bảo vệ hạn chế chống lại các cuộc tấn công.[5]