Protocolo de autenticación de contraseña
Protocolo de autenticación de contraseña (PAP) es un protocolo de autenticación basado en contraseña utilizado por el Protocolo punto a punto (PPP) para validar a los usuarios. PAP se especifica en RFC 1334.
Casi todos los sistemas operativos de red admiten PPP con PAP, al igual que la mayoría de los servidores de acceso a la red. PAP también se usa en PPPoE para autenticar a los usuarios de DSL.
Como el Protocolo punto a punto (PPP) envía datos sin cifrar y 'claros', PAP es vulnerable a cualquier atacante que pueda observar la sesión PPP. Un atacante puede ver el nombre de usuario, la contraseña y cualquier otra información asociada con la sesión de PPP. Se puede obtener cierta seguridad adicional en el enlace PPP usando CHAP o EAP. Sin embargo, siempre hay ventajas y desventajas al elegir un método de autenticación, y no hay una respuesta única para cuál es más seguro.
Cuando se usa PAP en PPP, se considera un esquema de autenticación débil. Los esquemas débiles son más simples y tienen una sobrecarga computacional más ligera que los esquemas más complejos como Transport Layer Security (TLS), pero son mucho más vulnerables a los ataques. Mientras que se utilizan esquemas débiles donde se espera que la capa de transporte sea físicamente segura, como un enlace DSL doméstico. Cuando la capa de transporte no es físicamente segura, se utiliza un sistema como Transport Layer Security (TLS) o Internet Protocol Security (IPsec).
Otros usos de la PAP
PAP también se usa para describir la autenticación de contraseña en otros protocolos como RADIUS y Diameter. Sin embargo, esos protocolos brindan seguridad de capa de transporte o de red y, por lo tanto, el uso de PAP no tiene los problemas de seguridad que se observan cuando se usa PAP con PPP.
Beneficios de la PAP
Cuando el cliente envía una contraseña de texto no cifrado, el servidor de autenticación la recibirá y la comparará con una contraseña "bien conocida" contraseña. Dado que el servidor de autenticación ha recibido la contraseña en texto no cifrado, se puede elegir el formato de la contraseña almacenada para que sea segura 'en reposo'. Si un atacante robara toda la base de datos de contraseñas, es computacionalmente inviable invertir la función para recuperar una contraseña de texto sin formato.
Como resultado, aunque las contraseñas PAP son menos seguras cuando se envían a través de un enlace PPP, permiten un almacenamiento más seguro 'en reposo'. que con otros métodos como CHAP.
Ciclo de trabajo
La autenticación PAP solo se realiza en el momento del establecimiento del enlace inicial y verifica la identidad del cliente mediante un protocolo de enlace bidireccional.
- Cliente envía nombre de usuario y contraseña. Esto se envía repetidamente hasta que se reciba una respuesta del servidor.
- Server envía autenticación-ack (si las credenciales están bien) o autenticación-nak (otros)
Paquetes de PAP
Descripción | 1 byte | 1 byte | 2 bytes | 1 byte | Variable | 1 byte | Variable |
|---|---|---|---|---|---|---|---|
| Authentication-request | Código = 1 | ID | Duración | Longitud del nombre de usuario | Nombre de usuario | Longitud de la contraseña | Contraseña |
| Authentication-ack | Código = 2 | ID | Duración | Longitud del mensaje | Mensaje | ||
| Authentication-nak | Código = 3 | ID | Duración | Longitud del mensaje | Mensaje |
Paquete PAP incrustado en una trama PPP. El campo de protocolo tiene un valor de C023 (maleficio).
| Bandera | Dirección | Control | Protocolo (C023 (hex))) | Carga de pago (cuadro anterior) | FCS | Bandera |
|---|
Contenido relacionado
Cambiador de genero
Vías aéreas imperiales
Relación de compresión de datos