Co je protokol ověřování hesla?
Protokol pro ověřování hesla je způsob odesílání hesel přes síť. Hesla jsou odesílána nešifrovaná po provedení počátečního odkazu se vzdáleným počítačem. Tento protokol není považován za bezpečný a používá se pouze při připojení ke staršímu počítači UNIX, který nepodporuje bezpečnější ověřování.
Počáteční připojení se provádí pomocí obousměrného handshake. Jakmile je počáteční odkaz vytvořen a poté je pár ID/heslo odeslán na vzdálený server. Žádost o ověřování je odesíláno opakovaně od klienta, dokud nebude žádost potvrzen nebo ukončen. Pro přijetí hesla musí vzdálený server předat paket protokolu ověřování hesla pomocí sady kódu pro ověření-Ack. Pokud heslo není přijato, musí vzdálený server předat paket protokolu ověřování hesla pomocí sady kódu pro Authenticate-Nak a připojení je ukončeno.
Protokol ověřování hesla je považován za nejistou metodu přenosuhesla. Hesla jsou odesílána přes síť v prosté textové podobě a jsou snadno čitelné z paketů protokolu (PPP) Point-to-Point. Neexistují žádná ochranná zařízení, která by zajistila heslo před čicháním hesla, přehrávání nebo útoků na pokus a omyl. Klient také má na starosti frekvenci a načasování pokusů o připojení hesla.
Protokol pro ověřování hesla byl překonán zabezpečenějšími protokoly, jako je protokol Challenge Handshake Protocol (CHAP) a EXtenvable Authentication Protocol (EAP). Zabezpečenější protokoly používají šifrovací techniky pro účely ověřování. CHAP je používán servery PPP. EAP používá bezdrátové sítě a připojení point-to-point.
Protokol Handshake Challenge ověřuje identitu klienta prostřednictvím třícestného handshake a sdíleného tajemství. Po navázání počátečního odkazu na dálkuServer odešle klientovi zprávu. Klient vypočítá jednosměrnou funkci hash, která kombinuje výzvu a tajemství a odešle funkci hash zpět na server.
Server kontroluje hodnotu proti své vlastní vypočítané hodnotě a pokud se shoduje, potvrzuje připojení. Pokud se hodnoty hash neshodují, připojení je ukončeno. Tento postup se opakuje v náhodných intervalech, zatímco klient a server jsou připojeni.
Rozšiřitelný ověřovací protokol je ověřovací rámec, nikoli skutečný autentizační protokol. EAP definuje pouze formát zprávy a poskytuje běžné funkce a vyjednávání metod ověřování. Existuje velké množství protokolů EAP definovaných jak žádostí o komentáře (RFC), tak konkrétními dodavateli.