パスワード認証プロトコルとは何ですか?
パスワード認証プロトコルは、ネットワークを介してパスワードを送信する方法です。 パスワードは、リモートコンピューターとの最初のリンクが作成された後、暗号化されずに送信されます。 このプロトコルは安全とは見なされず、より安全な認証をサポートしていない古いUnixコンピュータに接続する場合にのみ使用されます。
初期接続は、双方向ハンドシェイクを介して行われます。 最初のリンクが確立されると、ID /パスワードのペアがリモートサーバーに送信されます。 認証要求は、要求が確認されるか終了するまで、クライアントから繰り返し送信されます。 パスワードを受け入れるには、リモートサーバーはauthenticate-ackに設定されたコードでパスワード認証プロトコルパケットを送信する必要があります。 パスワードが受け入れられない場合、リモートサーバーはauthenticate-nakに設定されたコードでパスワード認証プロトコルパケットを送信する必要があり、接続は終了します。
パスワード認証プロトコルは、パスワードを送信する安全でない方法と見なされます。 パスワードはプレーンテキスト形式でネットワークを介して送信され、Point-to-Pointプロトコル(PPP)パケットから簡単に読み取ることができます。 パスワードスニッフィング、再生、試行錯誤攻撃からパスワードを保護するための保護デバイスはありません。 また、クライアントはパスワード接続の試行の頻度とタイミングを管理します。
パスワード認証プロトコルは、チャレンジハンドシェイクプロトコル(CHAP)や拡張認証プロトコル(EAP)などのより安全なプロトコルによって時代遅れになりました。 より安全なプロトコルは、認証目的で暗号化技術を使用します。 CHAPはPPPサーバーによって使用されます。 EAPは、ワイヤレスネットワークとポイントツーポイント接続の両方で使用されます。
チャレンジハンドシェイクプロトコルは、スリーウェイハンドシェイクと共有シークレットを介してクライアントのIDを検証します。 最初のリンクが確立された後、リモートサーバーはチャレンジメッセージをクライアントに送信します。 クライアントは、チャレンジとシークレットを組み合わせた一方向ハッシュ関数を計算し、ハッシュ関数をサーバーに送り返します。
サーバーは、計算された値に対して値をチェックし、一致する場合は接続を確認します。 ハッシュ値が一致しない場合、接続は終了します。 この手順は、クライアントとサーバーが接続されている間、ランダムな間隔で繰り返されます。
拡張可能な認証プロトコルは認証フレームワークであり、真の認証プロトコルではありません。 EAPはメッセージ形式のみを定義し、共通の機能と認証方法のネゴシエーションを提供します。 Request for Comments(RFC)と特定のベンダーの両方によって定義された多数のEAPプロトコルがあります。