Protocolo de autenticación de contraseña

El Protocolo de autenticación de contraseña ( PAP ) es un protocolo de autenticación basado en contraseña utilizado por el Protocolo punto a punto (PPP) para validar a los usuarios. ^[1] PAP se especifica en RFC  1334.

Casi todos los sistemas operativos de red admiten PPP con PAP, al igual que la mayoría de los servidores de acceso a la red . PAP también se utiliza en PPPoE para autenticar usuarios de DSL.

Como el protocolo punto a punto (PPP) envía datos sin cifrar y "sin cifrar", PAP es vulnerable a cualquier atacante que pueda observar la sesión PPP. Un atacante puede ver el nombre del usuario, la contraseña y cualquier otra información asociada con la sesión PPP. Se puede obtener cierta seguridad adicional en el enlace PPP utilizando CHAP o EAP . Sin embargo, siempre hay compensaciones al elegir un método de autenticación y no hay una única respuesta para saber cuál es más seguro.

Cuando se utiliza PAP en PPP, se considera un esquema de autenticación débil. Los esquemas débiles son más simples y tienen una carga computacional menor que los esquemas más complejos, como Transport Layer Security (TLS), pero son mucho más vulnerables a los ataques. Mientras que los esquemas débiles se utilizan donde se espera que la capa de transporte sea físicamente segura, como un enlace DSL doméstico . Cuando la capa de transporte no es físicamente segura, se utiliza en su lugar un sistema como Transport Layer Security (TLS) o Internet Protocol Security (IPsec) .

Otros usos del PAP

PAP también se utiliza para describir la autenticación de contraseñas en otros protocolos como RADIUS y Diameter . Sin embargo, estos protocolos brindan seguridad a la capa de red o de transporte y, por lo tanto, el uso de PAP no presenta los problemas de seguridad que se observan cuando se utiliza PAP con PPP.

Beneficios del PAP

Cuando el cliente envía una contraseña en texto simple, el servidor de autenticación la recibirá y la comparará con una contraseña "conocida como válida". Dado que el servidor de autenticación ha recibido la contraseña en texto simple, el formato de la contraseña almacenada se puede elegir para que sea segura "en reposo". Si un atacante robara la base de datos completa de contraseñas, sería computacionalmente inviable revertir la función para recuperar una contraseña en texto simple.

Como resultado, aunque las contraseñas PAP son menos seguras cuando se envían a través de un enlace PPP, permiten un almacenamiento más seguro "en reposo" que con otros métodos como CHAP .

Ciclo de trabajo

La autenticación PAP solo se realiza en el momento del establecimiento del enlace inicial y verifica la identidad del cliente mediante un protocolo de enlace bidireccional .

1. El cliente envía el nombre de usuario y la contraseña. Este mensaje se envía repetidamente hasta que se recibe una respuesta del servidor.
2. El servidor envía authentication-ack (si las credenciales son correctas) o authentication-nak (en caso contrario) ^[2]

Paquetes PAP

Paquete PAP incrustado en una trama PPP. El campo de protocolo tiene un valor de C023 (hexadecimal).

Véase también

• SAP – Punto de acceso al servicio

Notas

1. "Protocolo de autenticación de contraseñas (PAP)". GeeksforGeeks . 2018-07-17 . Consultado el 2020-11-08 .
2. Forouzan (2007). Comunicación de datos y redes para empresas. McGraw-Hill Education (India) Pvt Limited. Págs. 352–. ISBN 978-0-07-063414-5. Recuperado el 24 de noviembre de 2012 .

Referencias

• Lloyd, Brian; Simpson, William Allen (1992). "Password Authentication Protocol". Protocolos de autenticación PPP. IETF . p. 2. doi : 10.17487/RFC1334 . RFC 1334 . Consultado el 16 de julio de 2015 .