As diferenças entre PAP e CHAP

As diferenças entre PAP e CHAP

O protocolo de autenticação de senha, ou PAP, e o protocolo de autenticação de handshake de desafio, ou CHAP, são usados ​​para autenticar sessões PPP e podem ser usados ​​com muitas VPNs.

O PAP funciona como um procedimento de login padrão. O sistema remoto se autentica usando uma combinação estática de nome de usuário e senha. A senha pode passar por um túnel criptografado estabelecido para segurança adicional, mas o PAP está sujeito a vários ataques. Porque a informação é estática, é vulnerável a adivinhação de senha e espionagem.

INDIVÍDUO adota uma abordagem mais sofisticada e segura para autenticação. Ele cria uma frase de desafio exclusiva para cada autenticação, gerando uma string aleatória. Esta frase de desafio é combinada com nomes de host de dispositivo usando funções hash unilaterais. Com esse processo, o CHAP pode autenticar de forma que as informações secretas estáticas não sejam enviadas pela rede.

Vamos mergulhar mais fundo nas diferenças entre PAP e CHAP e como eles podem trabalhar juntos.

O que é PAP?

Dos dois métodos de autenticação do protocolo ponto a ponto (PPP), o PAP é o mais antigo. Foi padronizado em 1992 por meio do IEEE Pedido de Comentários 1334. O PAP é um protocolo de autenticação cliente-servidor baseado em senha. A autenticação ocorre apenas uma vez no início de um processo de estabelecimento de sessão.

O PAP usa um processo de handshake bidirecional para autenticação usando as etapas a seguir.

Etapa 1. O cliente envia o nome de usuário e a senha ao servidor.

O cliente que deseja estabelecer uma sessão PPP com um servidor envia uma combinação de nome de usuário e senha ao servidor. Isso é executado por meio de um pacote de solicitação de autenticação.

Etapa 2. O servidor aceita credenciais e verifica.

Se o servidor estiver ouvindo solicitações de autenticação, ele aceitará as credenciais de nome de usuário e senha e verificará se elas correspondem.

Se as credenciais forem enviadas corretamente, o servidor enviará um pacote de resposta de confirmação de autenticação ao cliente. O servidor irá então estabelecer a sessão PPP entre o cliente e o servidor.

Se as credenciais forem enviadas incorretamente, o servidor enviará um pacote de resposta Authentication-Nak ao cliente. O servidor não estabelecerá uma resposta com base na confirmação negativa.

Diagrama de handshake bidirecional PAP
O PAP usa um handshake bidirecional para autenticar e iniciar sessões de cliente.

O PAP é um mecanismo de autenticação simples e fácil de implementar, mas tem sérias desvantagens em seu uso em ambientes do mundo real. A maior desvantagem é que o PAP envia nomes de usuários e senhas estáticos de clientes para servidores em texto simples. Se malfeitores interceptassem essa comunicação, usando ferramentas como um farejador de pacotes, eles poderiam autenticar e estabelecer uma sessão PPP em nome do cliente.

É possível enviar solicitações de autenticação PAP por meio de túneis criptografados existentes. Mas, se outras opções de autenticação estiverem disponíveis, como CHAP, as equipes devem usar um método alternativo.

O que é CHAP?

O CHAP usa um processo de handshake de três vias para proteger a senha de autenticação de atores mal-intencionados. Funciona da seguinte maneira.

Etapa 1. O cliente inicia a autenticação e o servidor gera o desafio.

O cliente inicia a autenticação CHAP enviando um “desafio de solicitação” ao servidor. O servidor responde com uma string de desafio gerada aleatoriamente.

Diagrama de handshake de três vias CHAP
O CHAP usa um handshake de três vias para autenticar e iniciar sessões de cliente.

Etapa 2. O cliente executa a pesquisa de nome de host.

O cliente executa uma pesquisa de nome de host no servidor e usa a senha que o cliente e o servidor conhecem para criar um hash unidirecional criptografado.

Etapa 3. O servidor descriptografa o hash e verifica.

O servidor irá descriptografar o hash e verificar se ele corresponde à string de desafio inicial. Se as strings corresponderem, o servidor responderá com um pacote de sucesso de autenticação. Se as strings não corresponderem, o servidor enviará uma resposta de mensagem de falha de autenticação e a sessão será encerrada.

Quais são as diferenças entre PAP e CHAP?

O CHAP surgiu em 1996, em grande parte como uma resposta às deficiências de autenticação inerentes ao PAP. Em vez de um handshake de duas vias, o CHAP usa um handshake de três vias e não envia a senha pela rede. O CHAP usa um hash criptografado para o qual o cliente e o servidor conhecem a chave secreta compartilhada. Esta etapa extra ajuda elimine os pontos fracos de segurança encontrado no PAP.

Outra diferença é que o CHAP pode ser configurado para fazer autenticações repetidas no meio da sessão. Isso é útil para certas sessões PPP que deixam uma porta aberta mesmo que o dispositivo remoto tenha sido desconectado. Nesse caso, outra pessoa poderia obter a conexão no meio da sessão estabelecendo a conectividade física.

Como o PAP e o CHAP podem trabalhar juntos?

PAP e CHAP não podem funcionar juntos por si só. Mas os protocolos que usam PAP ou CHAP podem interagir com os dois métodos de autenticação, se desejado.

Por exemplo, o PPP pode usar PAP ou CHAP para autenticação. Portanto, os administradores podem configurar o protocolo de comunicação para tentar autenticar primeiro por meio do handshake triplo seguro do CHAP e, em seguida, recorrer ao processo de autenticação bidirecional menos seguro encontrado no PAP.

Leave a Reply

Your email address will not be published.