Lösenordsautentiseringsprotokoll
Password Authentication Protocol ( PAP ) är ett lösenordsbaserat autentiseringsprotokoll som används av Point-to-Point Protocol ( PPP ) för att validera användare. PAP specificeras i RFC 1334 .
Nästan alla nätverksoperativsystem stöder PPP med PAP, liksom de flesta nätverksservrar . PAP används också i PPPoE , för autentisering av DSL-användare.
Eftersom Point-to-Point Protocol (PPP) skickar data okrypterad och "i det klara", är PAP sårbart för alla angripare som kan observera PPP-sessionen. En angripare kan se användarnamnet, lösenordet och all annan information som är kopplad till PPP-sessionen. Viss ytterligare säkerhet kan erhållas på PPP-länken genom att använda CHAP eller EAP . Det finns dock alltid kompromisser när man väljer en autentiseringsmetod, och det finns inget enskilt svar på vilket som är säkrare.
När PAP används i PPP anses det vara ett svagt autentiseringsschema. Svaga system är enklare och har lättare beräkningskostnader än mer komplexa system som Transport Layer Security (TLS), men de är mycket mer sårbara för attacker. Medan svaga system används där transportlagret förväntas vara fysiskt säkert, till exempel en hem- DSL -länk. Där transportlagret inte är fysiskt säkert används istället ett system som Transport Layer Security (TLS) eller Internet Protocol Security (IPsec) .
Andra användningar av PAP
PAP används också för att beskriva lösenordsautentisering i andra protokoll som RADIUS och Diameter . Dessa protokoll tillhandahåller dock transport- eller nätverkslagersäkerhet, och därför har användningen av PAP inte de säkerhetsproblem som uppstår när PAP används med PPP.
Fördelarna med PAP
När klienten skickar ett klartextlösenord kommer autentiseringsservern att ta emot det och jämföra det med ett "känd bra" lösenord. Eftersom autentiseringsservern har tagit emot lösenordet i klartext formatet på det lagrade lösenordet väljas att vara säkert "i vila". Om en angripare skulle stjäla hela databasen med lösenord, är det beräkningsmässigt omöjligt att vända på funktionen för att återställa ett klartextlösenord.
Som ett resultat, medan PAP-lösenord är mindre säkra när de skickas via en PPP-länk, tillåter de säkrare lagring "i vila" än med andra metoder som CHAP .
Arbetscykel
PAP-autentisering görs endast vid tidpunkten för den första länketableringen och verifierar klientens identitet med hjälp av en tvåvägshandskakning .
- Klienten skickar användarnamn och lösenord. Detta skickas upprepade gånger tills ett svar tas emot från servern.
- Servern skickar autentiserings-ack (om autentiseringsuppgifterna är OK) eller authentication-nak (annars)
PAP-paket
|
Beskrivning |
1 byte | 1 byte | 2 byte | 1 byte | Variabel | 1 byte | Variabel |
|---|---|---|---|---|---|---|---|
| Autentiseringsbegäran | Kod = 1 | ID | Längd | Användarnamnets längd | Användarnamn | Lösenords längd | Lösenord |
| Autentiserings-ack | Kod = 2 | ID | Längd | Meddelandets längd | Meddelande | ||
| Autentisering-nak | Kod = 3 | ID | Längd | Meddelandets längd | Meddelande |
PAP-paket inbäddat i en PPP-ram. Protokollfältet har värdet C023 (hex).
| Flagga | Adress | Kontrollera | Protokoll (C023 (hex)) | Nyttolast (tabell ovan) | FCS | Flagga |
|---|
Se även
- SAP – Service Access Point
Anteckningar
- Lloyd, Brian; Simpson, William Allen (1992). "Protokoll för lösenordsautentisering" . PPP-autentiseringsprotokoll . IETF . sid. 2. doi : 10.17487/RFC1334 . RFC 1334 . Hämtad 16 juli 2015 .
|
Autentiserings -API: er |
|
|---|---|
Autentiseringsprotokoll _ |
|
