Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Erläuterung der Sicherheit des Passwort Authentication Protocol (PAP)

Die Cloud-basierte Authentifizierung von Oktabietet Benutzer Höchstmaß an Sicherheit mit einfach zu bedienenden Faktoren wie Biometrie und Push-Benachrichtigung.

 

Aktualisiert: 14. September 2024 Lesezeit: ~

Topics

Secure Onboarding, Security

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

PAP (Passwort authentication protocol) ist eine PPP-Authentifizierungsmethode (Point-to-Point Protocol), bei der Passwörter zur Validierung des Benutzers verwendet werden. IT ist ein Internet-Standard (RFC 1334), ein passwortbasiertes Authentifizierungsprotokoll. 

Bei der Verwendung von PAP werden die Daten nicht verschlüsselt. IT wird als Klartext an den Authentifizierungsserver gesendet. PAP verwendet einen bidirektionalen Handshake, um den Benutzer basierend auf dem von ihm angegebenen Benutzernamen und Passwort zu authentifizieren. 

Bei der Verwendung in PPP wird das Authentifizierungsprotokoll Passwort als schwaches Authentifizierungsschema angesehen. Da die Daten unverschlüsselt sind, ist die IT verwundbar und für einen Angreifer sichtbar, der die PPP-Sitzung einsehen kann. 

Durch die Verwendung von CHAP (Sicherheitsabfrage-Handshake-Authentifizierungsprotokoll) kann der PPP-Sitzung durch Hinzufügen eines Drei-Wege-Handshake-Prozesses zusätzliche Sicherheit verliehen werden. PAP ist ein Standard-Anmeldeverfahren, das als PPP-Methode zur Authentifizierung von Benutzern verwendet wird.

PAP-Sicherheit verstehen (Passwort Authentication Protocol)

Das Passwort-Authentifizierungsprotokoll ist eine PPP-Authentifizierungsmethode und ein Passwort-basiertes Client-Server-Authentifizierungsprotokoll. IT ist einfach zu implementieren und eine einfache Authentifizierungsmethode

Mithilfe eines bidirektionalen Handshakes authentifiziert PAP Benutzer in zwei Schritten, die wie folgt lauten:

  1. Der Benutzer oder Client, der versucht, eine PPP-Sitzung mit dem Server herzustellen, sendet über ein Authentifizierungsanforderungspaket einen Benutzernamen und ein Kennwort an den Server.
  2. Wenn der Server Anfragen abhört, akzeptiert die IT-Abteilung diese Anmeldedaten und überprüft, ob sie mit den im System gespeicherten Daten übereinstimmen. Wenn eine Übereinstimmung überprüft wird, wird ein Authentication-Ack-Antwortpaket an den Benutzer zurückgesendet, und der Server stellt die PPP-Sitzung zwischen dem Server und dem Benutzer her. Wenn die Anmeldedaten nicht übereinstimmen, wird die PPP-Session nicht aufgebaut und ein authorization-nak-Antwortpaket an den Benutzer zurückgesendet.

Das Passwort-Authentifizierungsprotokoll sendet Daten im Klartext, die dann anfällig für Paket-Sniffer-Angriffe sein können, bei denen Angreifer den Netzwerkverkehr abfangen, die PPP-Sitzung einsehen und Benutzernamen und Passwörter stehlen können. Es gibt Möglichkeiten, PAP-Authentifizierungsanforderungen über verschlüsselte Kanäle zu senden, aber stattdessen werden häufig alternative Methoden wie CHAP verwendet.

Wo PAP verwendet wird

Bei PAP sendet der Server keine Anmeldeaufforderung und wartet dann auf die Antwort des Benutzers. Stattdessen werden Benutzername und Passwort in einem LCP-Paket (Link Control Protocol) an einen Remote-Access-Server gesendet. PAP kann unter anderem wie folgt eingesetzt werden:

  • Fälle, in denen CHAP nicht unterstützt wird (nicht alle Software unterstützt CHAP)
  • Bei der Simulation einer Anmeldung auf einem Remote-Host, bei der ein einfaches Klartext-Passwort verfügbar sein muss
  • Im Falle von Inkonsistenzproblemen, beispielsweise wenn verschiedene Anbieter unterschiedliche Implementierungen von CHAP haben

Unterschied zwischen PAP und CHAP

PAP verwendet einen bidirektionalen Handshake-Prozess, bei dem der Client seine Anmeldedaten an den Server sendet, der Server sie überprüft und der Benutzer authentifiziert wird. CHAP verwendet einen Drei-Wege-Handshake-Prozess. Dies fügt eine zusätzliche Integration der Sicherheit in den Authentifizierungsprozess über das Passwort-Authentifizierungsprotokoll hinzu und trägt dazu bei, Anmeldedaten vor Angreifern zu schützen. 

CHAP wurde entwickelt, um Sicherheitslücken innerhalb der Punkt-zu-Punkt-Authentifizierungsmethode PAP zu schließen. 

Im Gegensatz zu PAP sendet CHAP das Passwort nicht über das Netzwerk. Stattdessen verwendet CHAP kryptografische Methoden, zu denen auch die Verwendung eines verschlüsselten Hashs gehört, für den sowohl der Server als auch der Client über den geheimen Schlüssel verfügen.

CHAP kann auch so eingerichtet werden, dass Authentifizierungen während der Sitzung wiederholt ausgeführt werden, um zu verhindern, dass Angreifer während der Sitzung eine PPP-Verbindung aufnehmen, wenn ein Port nach dem Trennen des Remote-Geräts offen gelassen wurde. CHAP fügt der PPP-Sitzung Sicherheitsfunktionen hinzu, über die PAP nicht verfügt.

So funktioniert CHAP

Der CHAP-Drei-Wege-Handshake-Prozess durchläuft die folgenden drei Schritte:

  1. Der Authentifizierungsfaktor sendet nach dem Verbindungsaufbau eine Authentifizierungs-Sicherheitsabfrage. Der Netzwerkzugriffsserver führt beim Benutzer eine Hostnamensuche durch und sendet eine „Ask-Sicherheitsabfrage“, die eine zufällig generierte Sicherheitsabfrage-Zeichenfolge enthält, an den Benutzer, um die CHAP-Authentifizierung zu initiieren.
  2. Der Benutzer führt dann eine Hostnamensuche durch. Der Benutzer verwendet das Passwort, das sowohl dem Benutzer als auch dem Server bekannt ist, um einen verschlüsselten unidirektionalen Hash zu erstellen. Dieser verschlüsselte Hash basiert auf der Sicherheitsabfragezeichenfolge.
  3. Als Nächstes überprüft der Server den Hash, indem er IT entschlüsselt, um sicherzustellen, dass IT mit der ursprünglichen Sicherheitsabfrage-Zeichenfolge übereinstimmt. Wenn die Zeichenfolgen übereinstimmen, wird eine Meldung über den Erfolg der Authentifizierung gesendet, und die PPP-Sitzung wird eingerichtet. Wenn die Zeichenfolgen nicht übereinstimmen, wird eine authentication-Ausfall-Meldung generiert, und die Sitzung wird beendet.

PPP kann entweder PAP oder CHAP für die Authentifizierung verwenden. Sie können zwar nicht direkt zusammenarbeiten, aber Protokolle können mit beiden interagieren. Beispielsweise kann ein Administrator sein Kommunikationsprotokoll so konfigurieren, dass zuerst versucht wird, sich mit dem sichereren CHAP zu authentifizieren, und bei Bedarf auf PAP zurückgreift.

Zusätzliche Ressourcen

Einzelheiten zum Punkt-zu-Punkt-Protokoll finden Sie hier. Weitere Informationen zu den Unterschieden zwischen PAP und CHAP finden Sie hier und Informationen zum Bearbeiten der PPP-Pfadkonfigurationsdatei (ppp.conf) finden Sie hier

CHAP gilt als sicherer als das Passwort-Authentifizierungsprotokoll. Wann immer möglich, sollte zuerst CHAP mit PAP als Backup aktiviert werden.

Referenzen

PPP-Authentifizierungsprotokolle. (Oktober 1992). Internet Engineering Task Force (IETF).

Sniffing-Angriffe und wie man sich dagegen wehrt. (September 2021). CISO Mag.

Punkt-zu-Punkt-Protokoll Networking. (2012). einbetten Software (Zweite Auflage).

Okta-Community-Authentifizierung mit PAP und CHAP. (2010). Oracle Corporation.

Bearbeiten der Konfigurationsdatei für den PPP-Pfad (ppp.conf). (2010). Oracle Corporation.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt