Il protocollo di autenticazione della password è un modo per inviare password su una rete. Le password vengono inviate non crittografate dopo che è stato effettuato un collegamento iniziale con il computer remoto. Questo protocollo non è considerato sicuro e viene utilizzato solo quando ci si connette a un computer Unix più vecchio che non supporta un’autenticazione più sicura.
La connessione iniziale avviene tramite un handshake bidirezionale. Una volta stabilito il collegamento iniziale, la coppia ID/password viene inviata al server remoto. La richiesta di autenticazione viene inviata ripetutamente dal client fino a quando la richiesta non viene riconosciuta o terminata. Per accettare la password, il server remoto deve trasmettere un pacchetto del protocollo di autenticazione della password con il codice impostato su autenticare-riconoscimento. Se la password non viene accettata, il server remoto deve trasmettere un pacchetto del protocollo di autenticazione della password con il codice impostato su autenticare-nak e la connessione viene terminata.
Il protocollo di autenticazione della password è considerato un metodo non sicuro di trasmissione delle password. Le password vengono inviate attraverso la rete in forma di testo semplice e sono facilmente leggibili dai pacchetti Point-to-Point Protocol (PPP). Non sono presenti dispositivi di protezione per proteggere la password da sniffing, riproduzione o attacchi per tentativi ed errori. Inoltre, il client è responsabile della frequenza e dei tempi dei tentativi di connessione della password.
Il protocollo di autenticazione della password è stato superato da protocolli più sicuri come il Challenge Handshake Protocol (CHAP) e l’Extensible Authentication Protocol (EAP). I protocolli più sicuri utilizzano tecniche di crittografia per scopi di autenticazione. CHAP è utilizzato dai server PPP. EAP viene utilizzato sia dalle reti wireless che dalle connessioni punto-punto.
Il protocollo Challenge Handshake verifica l’identità del cliente tramite una stretta di mano a tre vie e un segreto condiviso. Dopo aver stabilito il collegamento iniziale, il server remoto invia un messaggio di verifica al client. Il client calcola una funzione hash unidirezionale che combina la sfida e il segreto e invia la funzione hash al server.
Il server controlla il valore rispetto al proprio valore calcolato e riconosce la connessione se corrisponde. Se i valori hash non corrispondono, la connessione viene terminata. Questa procedura viene ripetuta a intervalli casuali mentre client e server sono connessi.
L’Extensible Authentication Protocol è un framework di autenticazione, non un vero protocollo di autenticazione. EAP definisce solo il formato del messaggio e fornisce funzioni comuni e negoziazione dei metodi di autenticazione. Esistono numerosi protocolli EAP definiti sia da Request for Comments (RFC) che da fornitori specifici.