Wat is wachtwoordverificatieprotocol?
Wachtwoordverificatieprotocol is een manier om wachtwoorden over een netwerk te verzenden. De wachtwoorden worden ongecodeerd verzonden nadat een eerste koppeling met de externe computer is gemaakt. Dit protocol wordt niet als veilig beschouwd en wordt alleen gebruikt bij het aansluiten op een oudere Unix-computer die geen veiligere authenticatie ondersteunt.
De eerste verbinding wordt tot stand gebracht via een bidirectionele handdruk. Zodra de eerste koppeling tot stand is gebracht, wordt het ID / wachtwoord-paar naar de externe server verzonden. Het authenticatieverzoek wordt herhaaldelijk van de client verzonden totdat het verzoek wordt bevestigd of beëindigd. Om het wachtwoord te accepteren, moet de externe server een wachtwoordverificatieprotocolpakket verzenden met de code ingesteld op authenticate-ack. Als het wachtwoord niet wordt geaccepteerd, moet de externe server een wachtwoordverificatieprotocolpakket verzenden met de code ingesteld op authenticate-nak en wordt de verbinding verbroken.
Het wachtwoordverificatieprotocol wordt beschouwd als een onveilige methode voor het verzenden van wachtwoorden. De wachtwoorden worden in platte tekst over het netwerk verzonden en zijn gemakkelijk leesbaar vanuit de PPP-pakketten (Point-to-Point Protocol). Er zijn geen beveiligingsapparatuur om het wachtwoord te beveiligen tegen wachtwoord snuiven, afspelen of aanvallen met vallen en opstaan. Ook is de client verantwoordelijk voor de frequentie en timing van de wachtwoordverbindingspogingen.
Wachtwoordverificatieprotocol is achterhaald door veiligere protocollen zoals het Challenge Handshake Protocol (CHAP) en het Extensible Authentication Protocol (EAP). De veiligere protocollen gebruiken coderingstechnieken voor authenticatiedoeleinden. CHAP wordt gebruikt door PPP-servers. EAP wordt gebruikt door zowel draadloze netwerken als point-to-point-verbindingen.
Het Challenge Handshake Protocol verifieert de identiteit van de client via een drieweg handshake en een gedeeld geheim. Nadat de eerste koppeling tot stand is gebracht, verzendt de externe server een uitdagingsbericht naar de client. De client berekent een eenrichtingshashfunctie die de uitdaging en het geheim combineert en de hashfunctie terugstuurt naar de server.
De server controleert de waarde tegen zijn eigen berekende waarde en bevestigt de verbinding als deze overeenkomt. Als de hash-waarden niet overeenkomen, wordt de verbinding verbroken. Deze procedure wordt herhaald met willekeurige tussenpozen terwijl de client en server zijn verbonden.
Het Extensible Authentication Protocol is een authenticatieraamwerk, geen echt authenticatieprotocol. EAP definieert alleen de berichtindeling en biedt algemene functies en onderhandeling over authenticatiemethoden. Er is een groot aantal EAP-protocollen gedefinieerd door zowel Request for Comments (RFC's) als door specifieke leveranciers.