Kerberosは、ネットワーク認証サービスを提供する、安全なシステムです。 認証とは、以下のようなものを指します。
ネットワーク上のエンティティの身元が検証されること
ネットワーク上のトラフィックが、自分が送信元であると主張している送信元から来ていること
Kerberosは、パスワードを使用してユーザーの身元を検証します。これらのパスワードは、必ず暗号化された形式でネットワーク上に送信されます。
従来のネットワークシステムのほとんどは、パスワードベースの認証体系を使用しています。 ネットワークサーバー上で動作するサービスに対して、ユーザーが自分の身元を証明する必要が生じた場合、認証を要求する各サービスに対して、ユーザーは自分自身のパスワードを入力します。 ユーザーのパスワードはネットワーク経由で送信され、サーバーはパスワードを使用してユーザーの身元を検証します。
一般的に行われていることですが、この方法で平文のパスワードを送信するのは、重大なセキュリティ上のリスクです。 ネットワークにアクセスできるシステムクラッカーやパケットアナライザ(パケットスニッファとも呼ばれる)は、このようにして送信されるパスワードを盗み見ることができます。
Kerberosの主な設計目標は、暗号化されないパスワードがネットワーク経由で送信されることが 絶対にない こと、というよりもパスワードがネットワーク経由でまったく送信されないことを保証することです。 Kerberosを適切に使用することで、パケットスニッファによってネットワーク上のパスワードが盗み見られるという脅威が根絶されることになります。