Co je protokol pro ověření hesla?
Protokol pro ověření hesla je způsob odesílání hesel přes síť. Hesla jsou odesílána nezašifrovaná po vytvoření počátečního propojení se vzdáleným počítačem. Tento protokol se nepovažuje za bezpečný a používá se pouze při připojení ke staršímu počítači Unix, který nepodporuje bezpečnější ověřování.
Počáteční připojení je provedeno obousměrným handshake. Po navázání počátečního spojení a odeslání dvojice ID / heslo na vzdálený server. Požadavek na autentizaci je odesílán opakovaně od klienta, dokud není požadavek potvrzen nebo ukončen. Aby přijal heslo, musí vzdálený server vyslat paket protokolu autentizace heslem s kódem nastaveným na autentizaci ack. Pokud není heslo přijato, musí vzdálený server vyslat paket protokolu autentizace heslem s kódem nastaveným na autentizaci nak a připojení je ukončeno.
Protokol ověření hesla je považován za nezabezpečenou metodu přenosu hesel. Hesla jsou odesílána přes síť ve formě prostého textu a jsou snadno čitelná z paketů protokolu PPP (Point-to-Point Protocol). Nejsou k dispozici žádná ochranná zařízení pro zabezpečení hesla před čicháním heslem, přehráváním nebo útoky typu pokus-omyl. Klient také odpovídá za frekvenci a načasování pokusů o připojení hesla.
Protokol pro ověřování hesla byl zastaralý pomocí bezpečnějších protokolů, jako je protokol Challenge Handshake Protocol (CHAP) a Extensible Authentication Protocol (EAP). Bezpečnější protokoly používají pro účely autentizace šifrovací techniky. CHAP je používán PPP servery. Protokol EAP používají bezdrátové sítě i připojení point-to-point.
Protokol Challenge Handshake ověřuje identitu klienta pomocí třícestného handshake a sdíleného tajemství. Po navázání počátečního spojení odešle vzdálený server klientovi výzvu. Klient vypočítá jednosměrnou hashovací funkci, která kombinuje výzvu a tajemství a odešle hashovací funkci zpět na server.
Server zkontroluje hodnotu na základě své vlastní vypočítané hodnoty a potvrdí spojení, pokud se shoduje. Pokud hodnoty hash neodpovídají, je připojení ukončeno. Tento postup se opakuje v náhodných intervalech, zatímco jsou klient a server připojeni.
Protokol Extensible Authentication Protocol je ověřovací rámec, nikoli skutečný ověřovací protokol. EAP definuje pouze formát zprávy a poskytuje běžné funkce a vyjednávání metod autentizace. Existuje velké množství protokolů EAP definovaných jak žádostmi o připomínky (RFC), tak konkrétními prodejci.