Che cos'è il protocollo di autenticazione password?
Il protocollo di autenticazione password è un modo per inviare password su una rete. Le password vengono inviate non crittografate dopo aver effettuato un collegamento iniziale con il computer remoto. Questo protocollo non è considerato sicuro e viene utilizzato solo quando ci si collega a un vecchio computer Unix che non supporta un'autenticazione più sicura.
La connessione iniziale viene effettuata tramite una stretta di mano a due vie. Una volta stabilito il collegamento iniziale e quindi la coppia ID / password viene inviata al server remoto. La richiesta di autenticazione viene inviata ripetutamente dal client fino a quando la richiesta non viene confermata o terminata. Per accettare la password, il server remoto deve trasmettere un pacchetto protocollo di autenticazione password con il codice impostato su authenticate-ack. Se la password non viene accettata, il server remoto deve trasmettere un pacchetto protocollo di autenticazione password con il codice impostato su authenticate-nak e la connessione viene terminata.
Il protocollo di autenticazione password è considerato un metodo non sicuro per la trasmissione di password. Le password vengono inviate attraverso la rete in forma di testo semplice e sono facilmente leggibili dai pacchetti PPP (Point-to-Point Protocol). Non ci sono dispositivi di protezione in atto per proteggere la password da sniffing password, riproduzione o attacchi di prova ed errore. Inoltre, il client è responsabile della frequenza e dei tempi dei tentativi di connessione della password.
Il protocollo di autenticazione password è stato superato da protocolli più sicuri come il protocollo CHAP (Challenge Handshake Protocol) e l'Extensible Authentication Protocol (EAP). I protocolli più sicuri utilizzano tecniche di crittografia a fini di autenticazione. CHAP è utilizzato dai server PPP. EAP è utilizzato da entrambe le reti wireless e connessioni punto-punto.
Il protocollo Handshake Challenge verifica l'identità del client tramite una stretta di mano a tre vie e un segreto condiviso. Dopo aver stabilito il collegamento iniziale, il server remoto invia un messaggio di verifica al client. Il client calcola una funzione hash unidirezionale che combina la sfida e il segreto e invia la funzione hash al server.
Il server verifica il valore rispetto al proprio valore calcolato e riconosce la connessione se corrisponde. Se i valori hash non corrispondono, la connessione viene terminata. Questa procedura viene ripetuta a intervalli casuali mentre il client e il server sono connessi.
Extensible Authentication Protocol è un framework di autenticazione, non un vero protocollo di autenticazione. EAP definisce solo il formato del messaggio e fornisce funzioni comuni e negoziazione dei metodi di autenticazione. Esistono numerosi protocolli EAP definiti sia dalla richiesta di commenti (RFC) sia da specifici fornitori.