CRAM (Challenge-Response Authentication Mechanism)

CRAM (Challenge-Response Authentication Mechanism) ist ein zweistufiges Verfahren zur Authentifizierung von Netzbenutzern, das als Teil des Hypertext Transfer Protocol (HTTP) im Internet verwendet wird. Die beiden Stufen sind die Basis-Authentifizierung und die Digest-Authentifizierung.

Beim CRAM gibt der Server (oder alternativ ein Proxy-Server oder Gateway) eine Anfrage an einen Benutzer in Form einer „401 unauthorized“-Anfrage nach einem Passwort aus. Das Kennwort ist eine Zeichenfolge, die nur dem Benutzer und dem Server bekannt ist. Wenn der Server die Antwort des Benutzers erhält, prüft er, ob das Kennwort korrekt ist. Wenn ja, ist der Benutzer authentifiziert. Ist dies nicht der Fall oder will das Netz das Kennwort aus anderen Gründen nicht akzeptieren, wird die Meldung „403 forbidden“ ausgegeben und der Zugriff auf die Website verweigert. CRAM kann zusätzlich zu anderen Sicherheitsmerkmalen, wie zum Beispiel einer starken Verschlüsselung, verwendet werden.

Die Grundform von CRAM kann missbraucht werden, da Passwörter vergleichsweise leicht zu stehlen sind. Bei der Digest-Authentifizierung, der anspruchsvolleren der beiden CRAM-Formen, wird das Kennwort nicht als Klartext über das Netz gesendet. Dies erhöht die Sicherheit, bietet aber keinen völlig sicheren Schutz vor Hackern. Sogar Digest-CRAM kann unter bestimmten Umständen überwunden werden, indem ein unbefugter Hacker den Status eines Super-Users erhält. Dadurch kann der Hacker einen Denial-of-Service-Angriff starten, der es autorisierten Benutzern erschwert oder unmöglich macht, sich zu authentifizieren.