Las limitaciones de un Kerberos son:


*Kerberos no tiene efectividad frente a ataques como el de diccionario. Si el usuario escoge una contraseña pobre, un atacante que la consiga tratando de adivinarla puede hacerse pasar por él.

*Kerberos requiere un camino seguro para entrar las contraseñas. Si un usuario entra una contraseña a un programa que ha sido modificado por un atacante, o si la comunicación entre el usuario y el programa de autenticación inicial puede ser monitoreada, entonces el atacante puede llegar a obtener suficiente información para hacerse pasar por el usuario. Kerberos puede combinarse con otras técnicas para eliminar estas limitaciones.

*No hay un lugar seguro donde guardar las claves de sesión. De hecho, el lugar donde se guardan puede ser accedido por el root. Así es que un intruso que logre crackear el mecanismo de protección de la computadora local podrá robar las claves de sesión.

*El protocolo liga los tickets a las direcciones de red y esto es un problema en hosts con más de una dirección IP. En las estaciones de trabajo esto rara vez ocurre.

*Para que Kerberos sea útil debe integrarse con otras partes del sistema. No protege todos los mensajes que se envían entre dos computadoras. Sólo protege los mensajes desde el software que se ha escrito o modificado para usarlo. Aunque puede ser utilizado para intercambiar claves de encriptado cuando se establece un vínculo y niveles de seguridad de servicios de red, esto requeriría cambios en el software de los hosts involucrados.

*Tiempo de vida de un ticket. La elección del tiempo de vida de los tickets no es trivial. Si se elige un tiempo de vida para los tickets muy largo, y un usuario desprevenido olvida desloguearse de una máquina, otra persona puede tomar su lugar. Por otro lado, si el tiempo de vida de los tickets es muy corto, el usuario va a ser molestado cada cierto tiempo para que ingrese nuevamente su contraseña.

*Manejo de proxies. Todavía no esta claro cómo permitir autenticación mediante proxies, es decir que un servidor utilice servicios de otros servidores en nombre de un usuario autenticado. Una solución tentativa es la de permitir que un usuario transfiera momentáneamente sus credenciales hacia otra máquina para poder obtener servicios de ella; pero esto no siempre es deseable pues el usuario podría no confiar en la máquina remota.
Estados Unidos no permite exportar criptografía, por lo que

*Kerberos no se puede distribuir en otros países tal como fue creado. Pero hay mucho software legal, que se exporta y que se basa en el uso de Kerberos. Por esta razón, para poder sacarlo del país se creó Bones, que es una versión de

* Kerberos sin las llamadas a las funciones criptográficas (carece de toda funcionalidad). De todos modos, Errol Young se las ingenió para ponerle a Bones las llamadas criptográficas nuevamente, creando Encrypted Bones, o E-bones.

Si sabes como aprovechar algunas de esas me alegro por vos.-

Saludos            Ilustrados.com