2.2.8 - Caches
Cache de Reprodução
Existe a possibilidade de um impostor simultaneamente roubar ambos bilhete e autenticador e usá-los durante a validade do autenticador. Embora seja muito difícil, não é impossível. Para resolver esse problema, foi introduzido em Kerberos 5 o Cache de Reprodução. Em servidores de aplicação e de concessão de bilhetes, existe uma capacidade de lembrar autenticadores que chegaram nos últimos momentos, e rejeitá-los se forem réplicas. Com isso, o problema está resolvido, tendo-se em vista que o impostor não é rápido o bastante para copiar o bilhete e o autenticador e fazê-los chegar ao servidor de aplicação antes dos legítimos.
Cache de Credenciais
O cliente nunca guarda a senha do usuário, nem memoriza a chave secreta obtida de string2key: eles são usados para descriptografar as respostas do KDC e descartados imediatamente. Todavia, por outro lado, para implementar a característica de subscrição única, onde o usuário é solicitado a digitar senha somente 1 vez por sessão de trabalho, é necessário memorizar os bilhetes e chave de sessão relacionada. O local onde os dados são armazenados é chamado "Cache de Credenciais". Onde o cache necessita ser localizado não depende do protocolo, mas varia entre implementações. Frequentemente, por questões de portabilidade, eles estão localizados no sistema de arquivos (implementações MIT e Heimdal são exemplos disso). Em outras implementações, como Active Directory do Windows, a fim de aumentar a segurança na eventualidade de clientes vulneráveis, o cache de credenciais é localizado em uma área de memória acessível somente a kernels e não passível de troca em disco.
Próximo: 2.3 - O funcionamento do sistema Kerberos