El protocolo de autenticación de contraseña es una forma de enviar contraseñas a través de una red. Las contraseñas se envían sin cifrar después de que se establece un enlace inicial con la computadora remota. Este protocolo no se considera seguro y se usa solo cuando se conecta a una computadora Unix más antigua que no admite una autenticación más segura.
La conexión inicial se realiza mediante un protocolo de enlace bidireccional. Una vez que se establece el enlace inicial y luego se envía el par ID / contraseña al servidor remoto. La solicitud de autenticación se envía repetidamente desde el cliente hasta que se confirma o finaliza la solicitud. Para aceptar la contraseña, el servidor remoto debe transmitir un paquete de protocolo de autenticación de contraseña con el código establecido en authenticate-ack. Si no se acepta la contraseña, el servidor remoto debe transmitir un paquete de protocolo de autenticación de contraseña con el código establecido en authenticate-nak y la conexión se interrumpe.
El protocolo de autenticación de contraseña se considera un método inseguro para transmitir contraseñas. Las contraseñas se envían a través de la red en forma de texto sin formato y se pueden leer fácilmente desde los paquetes del Protocolo punto a punto (PPP). No existen dispositivos de protección para asegurar la contraseña contra el rastreo, la reproducción o los ataques de prueba y error de contraseñas. Además, el cliente está a cargo de la frecuencia y el tiempo de los intentos de conexión con la contraseña.
El protocolo de autenticación de contraseña ha quedado obsoleto debido a protocolos más seguros, como el Challenge Handshake Protocol (CHAP) y el Extensible Authentication Protocol (EAP). Los protocolos más seguros utilizan técnicas de cifrado con fines de autenticación. Los servidores PPP utilizan CHAP. EAP se utiliza tanto en redes inalámbricas como en conexiones punto a punto.
El protocolo Challenge Handshake verifica la identidad del cliente mediante un protocolo de enlace de tres vías y un secreto compartido. Una vez que se establece el enlace inicial, el servidor remoto envía un mensaje de desafío al cliente. El cliente calcula una función hash unidireccional que combina el desafío y el secreto y envía la función hash al servidor.
El servidor compara el valor con su propio valor calculado y reconoce la conexión si coincide. Si los valores hash no coinciden, la conexión se interrumpe. Este procedimiento se repite a intervalos aleatorios mientras el cliente y el servidor están conectados.
El Protocolo de autenticación extensible es un marco de autenticación, no un verdadero protocolo de autenticación. EAP solo define el formato del mensaje y proporciona funciones comunes y negociación de métodos de autenticación. Existe una gran cantidad de protocolos EAP definidos tanto por Solicitudes de comentarios (RFC) como por proveedores específicos.