Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Explication de la sécurité du protocole d'authentification par mot de passe (PAP)

L’authentification cloud d’Okta offre un niveau d’assurance élevé aux utilisateurs à l’aide de facteurs simples à utiliser comme la biométrie et les notifications push.

 

Mis à jour: 14 septembre 2024 Temps de lecture: ~

Sujette

Secure Onboarding, Security

Sommaire

 

Cet article a été traduit automatiquement.

 

PAP, ou protocole d'authentification par mot de passe, est une méthode d'authentification par protocole point à point (PPP) qui utilise tbd pour valider l'utilisateur. IT est un protocole d'authentification basé sur le mot de passe et disponible sur Internet standard (RFC 1334). 

Avec PAP, les données ne sont pas cryptées. IT est envoyé au serveur d'authentification en texte clair. PAP utilise une poignée de main bidirectionnelle pour authentifier les utilisateurs sur la base du nom d'utilisateur et du mot de passe qu'ils ont fournis. 

Lorsqu'il est utilisé dans le cadre du PPP, le protocole d'authentification par mot de passe est considéré comme un système d'authentification faible. Comme les données ne sont pas cryptées, elles sont vulnérables et visibles pour un acteur malveillant capable de voir le PPP session. 

L'utilisation de CHAP (demande d'authentification - protocole d'authentification par poignée de main) peut ajouter une couche de sécurité supplémentaire au PPP session en ajoutant un processus de poignée de main à trois voies. PAP est une procédure de connexion standard utilisée comme méthode PPP pour authentifier l'utilisateur.

Comprendre la sécurité PAP (protocole d'authentification par mot de passe)

Méthode d'authentification PPP, le protocole d'authentification par mot de passe est un protocole d'authentification client-serveur basé sur un mot de passe. L'informatique est facile à mettre en œuvre et constitue une méthode d'authentification simple. 

En utilisant une poignée de main bidirectionnelle, PAP authentifie l'utilisateur en deux étapes, qui sont les suivantes :

  1. L'utilisateur, ou client, qui tente d'établir une session PPP avec le serveur envoie un nom d'utilisateur et un mot de passe au serveur par le biais d'un paquet de demande d'authentification.
  2. Lorsque le serveur écoute les demandes, le service informatique accepte ces identifiants et vérifie qu'ils correspondent à ce qui est stocké dans le système. Lorsqu'une correspondance est vérifiée, un paquet de réponse d'authentification-ack est renvoyé à l'utilisateur et le serveur établit la session PPP entre le serveur et l'utilisateur. Si les identifiants ne correspondent pas, le PPP session n'est pas établi et un paquet de réponse autorisation-nak est renvoyé à l'utilisateur.

Le protocole d'authentification par mot de passe envoie des données en texte clair, qui peuvent alors être vulnérables aux attaques par renifleur de paquets, où l'acteur malveillant intercepte le trafic réseau, est capable de voir le PPP session, et peut voler les noms d'utilisateur et tbd. Il existe des moyens d'envoyer des demandes d'authentification PAP par des canaux cryptés, mais d'autres méthodes telles que CHAP sont souvent utilisées à la place.

Où le PAP est-il utilisé ?

Avec le PAP, au lieu que le serveur envoie une demande de connexion et attende que l'utilisateur réponde, le nom d'utilisateur et le mot de passe sont envoyés à un serveur d'accès à distance dans un paquet LCP (protocole de contrôle de liaison). Voici quelques exemples d'utilisation du PAP :

  • Cas où CHAP n'est pas pris en charge (tous les logiciels ne prennent pas en charge CHAP)
  • Lors de la simulation d'une connexion à un hôte distant nécessitant la disponibilité d'un simple mot de passe en clair
  • En cas de problèmes d'incohérence, par exemple lorsque différents fournisseurs ont une implémentation différente de CHAP

Différence entre PAP & CHAP

PAP utilise un processus de poignée de main bidirectionnelle dans lequel le client envoie ses identifiants au serveur, le serveur les vérifie et l'utilisateur est authentifié. CHAP utilise un processus de poignée de main à trois voies. Cela ajoute une couche supplémentaire de sécurité au processus d'authentification par rapport au protocole d'authentification par mot de passe, ce qui contribue à protéger les identifiants contre les acteurs malveillants. 

CHAP a été créé pour remédier aux failles de sécurité de la méthode d'authentification point à point PAP. 

Contrairement à PAP, CHAP n'envoie pas le mot de passe sur le réseau. Au lieu de cela, CHAP utilise des méthodes cryptographiques, notamment l'utilisation d'un hachage crypté pour lequel le serveur et le client possèdent tous deux la clé secrète.

CHAP peut également être configuré pour exécuter des authentifications répétées à mi-parcours (session ) afin d'empêcher les cybercriminels d'établir une connexion PPP à mi-parcours (session ) lorsqu'un port a été laissé ouvert après la déconnexion du terminal distant. CHAP ajoute au PPP session une sécurité à la une que PAP n'a pas.

Fonctionnement de CHAP

Le processus de poignée de main à trois voies CHAP se déroule selon les trois étapes suivantes :

  1. L'authentificateur envoie une demande d'authentification après l'établissement du lien. Le serveur d'accès au réseau effectue une recherche de nom d'hôte sur l'utilisateur et envoie une "demande d'authentification", qui comprend une chaîne de demande d'authentification générée de manière aléatoire, à l'utilisateur pour lancer l'authentification CHAP.
  2. L'utilisateur effectue ensuite une recherche de nom d'hôte. L'utilisateur utilisera le mot de passe connu à la fois de l'utilisateur et du serveur pour créer un hachage unidirectionnel crypté. Ce hachage chiffré est basé sur la chaîne de la demande d'authentification.
  3. Ensuite, le serveur vérifie le hachage en décryptant IT pour s'assurer que IT correspond à la chaîne de la demande d'authentification initiale. Lorsque les chaînes correspondent, un message d'authentification réussie est envoyé et la session PPP est établie. Si les chaînes ne correspondent pas, un message d'authentification-défaillance est généré et le site session est interrompu.

PPP peut utiliser PAP ou CHAP pour l'authentification. Bien qu'ils ne puissent pas travailler directement ensemble, les protocoles peuvent interagir avec l'un ou l'autre. Par exemple, un administrateur peut configurer son protocole de communication de manière à ce qu'il tente d'abord de s'authentifier à l'aide du protocole CHAP, plus sûr, et qu'il revienne au protocole PAP en cas de besoin.

Ressources supplémentaires

Pour plus de détails sur le protocole point à point, voir ici. Cliquez ici pour plus d'informations sur les différences entre PAP et CHAP, et ici pour savoir comment modifier le fichier de configuration du chemin PPP (ppp.conf). 

CHAP est considéré comme plus sûr que le protocole d'authentification par mot de passe. Dans la mesure du possible, CHAP doit être activé en premier et PAP doit être utilisé comme solution de secours.

Références

Protocoles d'authentification PPP. (octobre 1992). Internet Engineering Task Force (IETF).

Attaques par reniflage et comment s'en défendre. (septembre 2021). RSSI Mag.

Protocole de mise en réseau point à point. (2012). embarquer le logiciel (deuxième édition).

paire Authentification par PAP et CHAP. (2010). Oracle Corporation.

Modification du fichier de configuration du chemin PPP (ppp.conf). (2010). Oracle Corporation.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter