Kerberos は、ネットワーク認証サービスを提供する、安全なシステムです。認証の意味:
ネットワーク上のエンティティの身元が検証されます
ネットワーク上のトラフィックの送信元は、自分が送信元であると主張します
kerberos はユーザのパスワードを使用してユーザの身元を検証しますが、暗号化されないパスワードがネットワーク経由で送信されることは決してありません。
従来のネットワークシステムのほとんどは、パスワードベースの認証体系を使用しています。ネットワークサーバ上で動作するサービスに対して、ユーザが自分の身元を証明する必要が生じた場合、認証を要求する各サービスに対して、ユーザは自分自身のパスワードを入力します。ユーザのパスワードはネットワーク経由で送信され、サーバはパスワードを使用してユーザの身元を検証します。
一般的に行われていることではありますが、このように平文のパスワードを送信するということは、重大なセキュリティ上のリスクです。ネットワークにアクセスできるシステムクラッカーがパケットアナライザ (一般にはパケットスニッファと呼ばれます) を使用すれば、このようにして送信されるパスワードを盗み見ることができます。
Kerberos の主な設計目標は、暗号化されないパスワードがネットワーク経由で送信されることが絶対にないこと、というよりもパスワードがネットワーク経由でまったく送信されないことを保証することです。Kerberos を適切に使用することで、パケットスニッファによってネットワーク上のパスワードが盗み見られるという脅威が根絶されることになります。