Qu'est-ce que le protocole d'authentification de mot de passe?
Le protocole d'authentification par mot de passe est un moyen d'envoyer des mots de passe sur un réseau. Les mots de passe sont envoyés non chiffrés après l'établissement d'un lien initial avec l'ordinateur distant. Ce protocole n'est pas considéré comme sûr et est utilisé uniquement lors de la connexion à un ancien ordinateur Unix ne prenant pas en charge l'authentification plus sécurisée.
La connexion initiale est établie via une liaison bidirectionnelle. Une fois le lien initial établi, la paire ID / mot de passe est envoyée au serveur distant. La demande d'authentification est envoyée à plusieurs reprises par le client jusqu'à ce que la demande soit acquittée ou terminée. Pour accepter le mot de passe, le serveur distant doit transmettre un paquet de protocole d'authentification de mot de passe avec le code défini sur authenticate-ack. Si le mot de passe n'est pas accepté, le serveur distant doit transmettre un paquet de protocole d'authentification de mot de passe avec le code défini sur authenticate-nak et la connexion est interrompue.
Le protocole d'authentification par mot de passe est considéré comme une méthode non sécurisée de transmission de mots de passe. Les mots de passe sont envoyés sur le réseau sous forme de texte brut et sont facilement lisibles à partir des paquets PPP (Point-to-Point Protocol). Il n'existe aucun dispositif de protection en place pour sécuriser le mot de passe contre les attaques de capture de mot de passe, de lecture ou d'essais et erreurs. En outre, le client est responsable de la fréquence et du minutage des tentatives de connexion par mot de passe.
Le protocole d'authentification par mot de passe a été démodé par des protocoles plus sécurisés tels que le protocole CHAP (Challenge Handshake Protocol) et le protocole EAP (Extensible Authentication Protocol). Les protocoles les plus sécurisés utilisent des techniques de cryptage à des fins d'authentification. CHAP est utilisé par les serveurs PPP. EAP est utilisé à la fois par les réseaux sans fil et par les connexions point à point.
Le protocole de prise de contact Challenge vérifie l'identité du client via une prise de contact à trois voies et un secret partagé. Une fois le lien initial établi, le serveur distant envoie un message de challenge au client. Le client calcule une fonction de hachage à sens unique qui combine le défi et le secret et renvoie la fonction de hachage au serveur.
Le serveur compare la valeur à sa propre valeur calculée et reconnaît la connexion si elle correspond. Si les valeurs de hachage ne correspondent pas, la connexion est terminée. Cette procédure est répétée à des intervalles aléatoires lorsque le client et le serveur sont connectés.
Le protocole d’authentification extensible est un cadre d’authentification, et non un véritable protocole d’authentification. EAP définit uniquement le format du message et fournit des fonctions communes et la négociation des méthodes d'authentification. Un grand nombre de protocoles EAP sont définis à la fois par RFC (Request for Comments) et par des fournisseurs spécifiques.