什么是密碼身份驗(yàn)證協(xié)議

什么是密碼身份驗(yàn)證協(xié)議

PAP是一種身份驗(yàn)證協(xié)議,是一種最不安全的身份證協(xié)議，是一種當(dāng)客戶端不支持其它身份認(rèn)證協(xié)議時(shí)才被用來連接到PPP服務(wù)器的方法。它需要用戶輸入密碼才能訪問安全系統(tǒng)。用戶的名稱和密碼通過線路發(fā)送到服務(wù)器,并在那里與—個(gè)用戶帳戶名和密碼數(shù)據(jù)庫進(jìn)行比較。這種技術(shù)容易受到竊聽的攻擊,因?yàn)槟橙丝赡芙孬@密碼并使用它登錄到系統(tǒng)。

多數(shù)情況下,不建議使用PAP。因?yàn)樵谏矸蒡?yàn)證過程中，您的密碼可以被很容易地從點(diǎn)對(duì)點(diǎn)協(xié)議 (PPP) 數(shù)據(jù)包中讀取。不過,如果沒有更好的驗(yàn)證方案可用,有些驗(yàn)證系統(tǒng)還得求助于PAP，如連接到基于UNIX的舊遠(yuǎn)程訪問服務(wù)器。通過在遠(yuǎn)程訪問服務(wù)器上禁用對(duì)PAP的支持，撥號(hào)客戶端就不會(huì)發(fā)送明文密碼。禁用PAP支持可提高身份驗(yàn)證的安全性，但是僅支持PAP的遠(yuǎn)程訪問客戶端將無法連接。

CHAP(詢問握手身份驗(yàn)證協(xié)議)是一種替換協(xié)議。它使用三次握手來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的定期審查和認(rèn)可，當(dāng)鏈路建立時(shí)CHAP應(yīng)該已經(jīng)完成并且在鏈路建立以后，必要時(shí)可以重復(fù)審查過程。這一點(diǎn)使CHAP較PAP更為有效。PAP只進(jìn)行一次身份認(rèn)證，這使它很易被黑客進(jìn)行數(shù)據(jù)重放，而且PAP允許客戶端發(fā)起認(rèn)證申請(qǐng)，這也導(dǎo)致它易被黑客攻擊。因此CHAP不允許客戶端在沒有收到挑戰(zhàn)消息的情況下發(fā)起認(rèn)證申請(qǐng)。在PPP鏈路建立以后，服務(wù)器將會(huì)發(fā)送挑戰(zhàn)消息到遠(yuǎn)端，遠(yuǎn)端將回送一個(gè)響應(yīng)值，然后服務(wù)器根據(jù)自己的值對(duì)返回值進(jìn)行驗(yàn)證，如果吻合，認(rèn)證將通過確認(rèn)，否則，鏈路終止。
CHAP使用唯一且不可預(yù)知的挑戰(zhàn)數(shù)據(jù)來防止回放攻擊，挑戰(zhàn)數(shù)字的目的就是限制數(shù)據(jù)攻擊的時(shí)間。區(qū)域服務(wù)器（如網(wǎng)景商業(yè)服務(wù)器）可以控制發(fā)送挑戰(zhàn)消息的頻率和時(shí)間。

?