Okta & Auth0のデモ動画を多数掲載 - コンテンツライブラリ Okta & Auth0のデモ動画を多数掲載 - コンテンツライブラリ 一覧を見る →
検索

パスワード認証プロトコル(PAP)を利用するセキュリティについて

Oktaのクラウドベース認証では、生体認証やプッシュ通知などの使いやすい要素により、高い信頼性をユーザーに提供しています。

 

更新済み: 2024年09月14日 読了目安時間: ~

トピック

Secure Onboarding, Security

目次

 

この記事は機械翻訳されました。

 

PAP(パスワード認証プロトコル)は、パスワードを使用してユーザーを検証するポイントツーポイントプロトコル(PPP)認証方法です。 IT は、インターネット標準 (RFC 1334) のパスワードベースの認証プロトコルです。

PAP を使用すると、データは暗号化されません。IT はプレーンテキストとして認証サーバーに送信されます。 PAP は、双方向ハンドシェイクを使用して、提供されたユーザ名とパスワードに基づいてユーザを認証します。

PPP で使用する場合、パスワード認証プロトコルは脆弱な認証スキームと見なされます。データは暗号化されていないため、ITは脆弱であり、PPPセッションを表示できる悪意のある人物から見ることができます。

CHAP(課題-handshake authentication protocol)を使用すると、3ウェイハンドシェイクプロセスを追加することで、PPPセッションにセキュリティをさらに積み重ねることができます。 PAP は、ユーザーを認証するための PPP 方式として使用される標準的なログイン手順です。

PAP セキュリティ (パスワード認証プロトコル) について

PPP 認証方式であるパスワード認証プロトコルは、パスワードベースのクライアント/サーバー認証プロトコルです。ITは実装が簡単で、認証方法もシンプルです。

PAP は、双方向ハンドシェイクを使用して、次の 2 つの手順でユーザーを認証します。

  1. サーバーとの PPP セッションを確立しようとするユーザーまたはクライアントは、認証要求パケットを介してユーザー名とパスワードをサーバーに送信します。
  2. サーバーがリクエストをリッスンしているとき、IT部門はこれらの認証情報を受け入れ、システムに保存されているものと一致することを確認します。 一致が確認されると、authentication-ack 応答パケットがユーザーに送り返され、サーバーはサーバーとユーザー間の PPP セッションを確立します。認証情報が一致しない場合、PPP セッションは確立されず、authorization-nak 応答パケットがユーザーに送り返されます。

パスワード認証プロトコルはデータをプレーンテキストで送信するため、悪意のある人物がネットワークトラフィックを傍受し、PPPセッションを表示でき、ユーザー名やパスワードを盗むパケットスニファー攻撃に対して脆弱になる可能性があります。 PAP 認証要求を暗号化チャネル経由で送信する方法もありますが、多くの場合、CHAP などの代替方法が使用されます。

PAPが使用される場所

PAP では、サーバーがログイン要求プロンプトを送信してユーザーの応答を待つ代わりに、ユーザー名とパスワードが LCP (リンク制御プロトコル) パケットでリモート アクセス サーバーに送信されます。 PAP の用途には、次のようなものがあります。

  • CHAP がサポートされていないインスタンス (すべてのソフトウェアが CHAP をサポートしているわけではありません)
  • リモートホストでのログインをシミュレートする場合、単純なプレーンテキストのパスワードが利用可能である必要があります
  • 不整合の問題が発生した場合 (異なるベンダーが CHAP の実装を変更した場合など)

PAP と CHAP の違い

PAP は、クライアントが認証情報をサーバーに送信し、サーバーが認証情報を検証し、ユーザーが認証される双方向ハンドシェイク プロセスを使用します。 CHAP は 3 ウェイ ハンドシェイク プロセスを使用します。これにより、パスワード認証プロトコルよりも認証プロセスにセキュリティが積み重ねるようになり、認証情報を悪意のある人物から保護するのに役立ちます。

CHAP は、PAP ポイントツーポイント認証方式のセキュリティの脆弱性に対処するために作成されました。

PAP とは異なり、CHAP はネットワーク経由でパスワードを送信しません。代わりに、CHAP は、サーバーとクライアントの両方が秘密鍵を持つ暗号化ハッシュの使用を含む暗号化方式を使用します。

また、CHAPは、リモートデバイスが切断された後にポートが開いたままになっている場合に、脅威アクターがセッションの途中でPPP接続を取得するのを防ぐために、セッションの途中で認証を繰り返し実行するように設定することもできます。CHAP は、PAP にはないセキュリティ機能を PPP セッションに追加します。

CHAPの仕組み

CHAP スリーウェイ ハンドシェイク プロセスは、次の 3 つの手順で機能します。

  1. 認証者は、リンクが確立された後に認証課題を送信します。 ホスト名の参照は、ネットワーク上のネットワーク アクセス サーバーによってユーザーに対して実行され、ランダムに生成された課題文字列を含む "ask 課題" をユーザーに送信して CHAP 認証を開始します。
  2. その後、ユーザーはホスト名の検索を実行します。ユーザーは、ユーザーとサーバーの両方が認識しているパスワードを使用して、暗号化された一方向ハッシュを作成します。この暗号化されたハッシュは、課題文字列に基づいています。
  3. 次に、サーバーは IT を復号化してハッシュを検証し、IT が最初の課題文字列と一致することを確認します。 文字列が一致すると、authentication-success メッセージが送信され、PPP セッションが確立されます。文字列が一致しない場合は、authentication-エラー メッセージが生成され、セッションは終了します。

PPP は、認証に PAP または CHAP のいずれかを使用できます。プロトコルは直接連携することはできませんが、どちらとも対話できます。たとえば、管理者は、最初により安全な CHAP を使用して認証を試み、必要に応じて PAP にフォールバックするように通信プロトコルを構成できます。

こちらの情報も併せてご活用ください

ポイントツーポイントプロトコルの詳細については、こちらを参照してください。PAP と CHAP の違いについては、 ここ を、 PPP パス設定ファイル (ppp.conf) の編集方法については、 ここ を確認してください。

CHAPは、パスワード認証プロトコルよりも安全であると考えられています。可能な限り、PAP をバックアップとして CHAP を最初に有効にする必要があります。

参考文献

PPP 認証プロトコル。(1992年10月)。インターネット技術特別調査委員会 (IETF)。

スニッフィング攻撃とその防御方法。(2021年9月)。CISOマグ

ポイントツーポイント プロトコル ネットワーク。 (2012).組み込む Software (Second Edition).

PAP と CHAP を使用したピア認証。(2010年、オラクルコーポレーション。

PPP パス設定ファイル (ppp.conf) の編集。(2010年、オラクルコーポレーション。

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ