करबरोस की कई कमियां हैं जो इस प्रकार हैं -
-
पासवर्ड अनुमान लगाने वाले हमले - पासवर्ड अनुमान लगाने वाले हमलों को केर्बेरोस द्वारा हल नहीं किया जाता है। यदि कोई उपयोगकर्ता खराब पासवर्ड का चयन करता है, तो यह एक हमलावर के लिए एक ऑफ़लाइन शब्दकोश हमले को सफलतापूर्वक माउंट करने के लिए लागू होता है, जो लगातार प्राप्त संदेशों को डिक्रिप्ट करने का प्रयास करता है, जो उपयोगकर्ता के पासवर्ड से बदली गई कुंजी के तहत एन्क्रिप्टेड होते हैं। लक्ष्य एक उपयोगकर्ता प्रमाणीकरण प्रोटोकॉल को डिजाइन करना है जो पासवर्ड अनुमान लगाने वाले हमलों से प्रभावित नहीं है। मुख्य उद्देश्य इस पासवर्ड अनुमान लगाने वाले हमले को हटाना है।
-
केडीसी स्पूफिंग - यह एक हमले को परिभाषित करता है जो अनिवार्य रूप से केडीसी प्रतिक्रियाओं को धोखा देने की क्षमता पर आधारित होता है। यह Kerberos प्रोटोकॉल परिभाषा को ध्यान में रखते हुए, KDC प्रतिक्रिया को धोखा देना सुरक्षा चिंता का विषय नहीं होना चाहिए। दरअसल, Kerberos को एक अविश्वसनीय नेटवर्क को सहन करने के लिए बनाया गया है।
आईपी स्पूफिंग एक ऐसी चीज है जो अविश्वसनीय नेटवर्क पर दिखाई देती है। Kerberos प्रोटोकॉल आपसी प्रमाणीकरण को लागू करता है। अंतिम उपयोगकर्ता और सर्वर की पहचान साबित करने की आवश्यकता है। यह मैन-इन-द-मिडिल हमलों से सुरक्षा प्रदान करता है।
-
सेवा हमलों से इनकार - सेवा हमलों से इनकार का समाधान Kerberos के साथ नहीं किया जाता है। इन प्रोटोकॉल में ऐसे स्थान हैं जहां एक घुसपैठिया किसी एप्लिकेशन को उचित प्रमाणीकरण प्रक्रिया में भाग लेने से बचा सकता है। ऐसे हमलों का पता लगाना और उनका समाधान करना (जिनमें से कुछ सिस्टम के लिए असामान्य "सामान्य" विफलता मोड हो सकते हैं) आमतौर पर मानव प्रबंधन और उपयोगकर्ताओं के लिए सबसे अच्छा छोड़ दिया जाता है।
एक हमलावर प्रमाणीकरण अनुरोधों के साथ केडीसी को भरकर एक डीओएस हमले को माउंट कर सकता है, जिसके परिणामस्वरूप वैध अनुरोधों के लिए खराब प्रतिक्रिया समय हो सकता है और सबसे खराब स्थिति में केडीसी को भी क्रैश कर सकता है। यह सेवा हमलों से इनकार से बच सकता है, एक समाधान यह हो सकता है कि केडीसी को फ़ायरवॉल के पीछे रखा जाए और अनुरोधों और संतुलन लोड को पूरा करने के लिए अनावश्यक केडीसी दासों को रखा जाए।
-
केडीसी सर्वर से समझौता - केडीसी कुछ प्रिंसिपलों/सत्यापनकर्ताओं (यानी, उपयोगकर्ता और सर्वर) और उनकी गुप्त कुंजियों के एन्क्रिप्टेड डेटाबेस का समर्थन करता है। यदि केडीसी की सुरक्षा से समझौता किया जाता है, तो पूरे नेटवर्क की सुरक्षा से समझौता किया जाता है, भले ही मुख्य कुंजी को मास्टर कुंजी का उपयोग करके एन्क्रिप्टेड रूप में सहेजा जाता है; मास्टर कुंजी स्वयं केडीसी में सहेजी जाती है।
-
एक हमलावर पूरे नेटवर्क पर नियंत्रण हासिल कर सकता है, किसी भी प्रिंसिपल की साख बना या बदल सकता है। यह इस तरह के हमले से बच सकता है, केडीसी की सुरक्षा का समर्थन करता है और सीमित कर्मियों के लिए केडीसी तक पहुंच को परिभाषित करता है।
-
सत्यापनकर्ता/सर्वर से समझौता - यदि सर्वर की सुरक्षा से समझौता किया जाता है, तो उस सर्वर की कुछ सेवाओं से समझौता किया जाता है। हमलावर सर्वर पर चल रही कुछ सेवा का प्रतिरूपण करने और सेवा और क्लाइंट/प्रिंसिपल के बीच कुछ संचार को डिक्रिप्ट करने में सक्षम होगा। सर्वर पर चलने वाली सेवाओं की सुरक्षा सर्वर की सुरक्षा पर आधारित होती है। सर्वर के सुरक्षा उपाय उस सर्वर पर सहेजी गई सेवाओं और संसाधनों की लागत के समानुपाती होंगे।