Kerberos là một giao thức xác thực mạng sử dụng các vé được mã hóa để chuyển thông tin qua các mạng không an toàn. Xác thực Kerberos thể hiện một số ưu điểm so với các phương pháp xác thực mạng khác, để các nút giao tiếp với nhau có thể tin tưởng rằng thông tin mà họ nhận được là xác thực và đáng tin cậy và các phiên trong tương lai sẽ có cùng độ xác thực.
Chứng thực lẫn nhau
Khi hai nút - chẳng hạn như máy khách và máy chủ hoặc máy chủ và máy chủ - bắt đầu giao tiếp, chúng chuyển các vé được mã hóa thông qua hệ thống của bên thứ ba đáng tin cậy được gọi là Trung tâm phân phối khóa. KDC chuyển một vé bí mật có khóa giải mã cho cả hai nút. Sau đó, các nút chuyển các tem thời gian được mã hóa cho nhau và sử dụng khóa để giải mã chúng. Nếu họ làm như vậy thành công, họ xác thực đối tác của mình và có thể tin tưởng lẫn nhau miễn là phiên vẫn mở.
Mật khẩu
Khi máy chủ cố gắng xác thực máy khách bằng giao thức Kerberos, máy khách không phải gửi mật khẩu - nhờ xác thực lẫn nhau, cả máy khách và máy chủ đều có thông tin cần thiết cần thiết để giải mã các vé. Điều này có nghĩa là bất kỳ kẻ dò tìm gói tin nào nghe trộm thông tin liên lạc sẽ không có quyền truy cập vào mật khẩu máy khách hoặc máy chủ, chưa nói đến bất kỳ thông tin nào khác được chuyển trong phiên.
Phiên tích hợp
Khi một nút máy khách được xác thực trên mạng được Kerberos hỗ trợ, nó sẽ nhận được một phiếu máy khách có dấu thời gian hết hạn. Miễn là vé chưa hết hạn, khách hàng có thể sử dụng nó để truy cập vào bất kỳ dịch vụ mạng nào khác hỗ trợ xác thực Kerberos mà không cần phải xác thực lại chính nó. Nếu phiên của khách hàng trên mạng vẫn còn hoạt động nhưng vé hết hạn, khách hàng có thể yêu cầu một vé mới.
Phiên có thể gia hạn
Sau khi máy khách và máy chủ đã tự xác thực với nhau, họ sẽ không bao giờ phải làm như vậy nữa. Là một phần của xác thực lẫn nhau, máy khách nhận được thông tin xác thực từ máy chủ. Khi máy khách bắt đầu một phiên trong tương lai, nó sẽ gửi thông tin đăng nhập của mình tới máy chủ, máy chủ nhận ra chúng và xác thực ngay lập tức máy khách. Điều này giúp loại bỏ nhu cầu về KDC, do đó hai nút có thể thiết lập kết nối an toàn nhanh hơn so với chúng đã làm trong phiên đầu tiên.