Password Authentication Protocol (PAP)

PAP (Password Authentication Protocol) ist ein Verfahren zur Authentifizierung über das Point-to-Point Protocol und ist im RFC 1334 genauer beschrieben. Es wurde häufig für die Einwahl mit Modems zu Netzwerkbetreibern (ISP) verwendet.

Bei PAP wird das Passwort für die Authentifizierung im Klartext übertragen. Weil das PAP das User-Passwort unkodiert zur Überprüfung an einen zentralen Server überträgt, bietet es nur einen geringen Schutz. PAP ist in der Regel immer verfügbar. Beim Einsatz der unverschlüsselten Passwortübermittlung ist auf jeden Fall darauf zu achten, daß die Übertragungskanäle relativ sicher sein sollten.

 

PAP - PPP Authentication Protocol

Das PPP Authentication Protocol beschreibt einen 2-Wege-Handshake, wie er so oder so ähnlich bei jeder Einwahl mit Authentifizierung stattfindet.
Dazu schickt der Client dem angerufenen Host die Benutzername/Passwort-Kombination so lange, bis der Host die Authentifizierung des Clients annimmt oder ablehnt. Bei einer Ablehnung wird die Verbindung dann unterbrochen.

Die Verwendung dieses Protokolls bringt jedoch ein paar Sicherheitsrisiken mit sich:

  • Benutzername und Passwort werden unverschlüsselt in Klartext übertragen. Wir die Datenübertragung abgehört, hat ein Hacker die Daten zur Authentifizierung und kann sich selber einwählen und Schaden anrichten.

  • Der Client kann beliebig viele Versuche zur Authentifizierung unternehmen. Das Raten von Passwörtern oder testweise ausprobieren von beliebigen Benutzernamen/Passwort-Kombinationen ist möglich und verschafft einem Hacker zufälligen Zugang.

  • Die Häufigkeit und Geschwindigkeit der Authentifizierung kann vom Client bestimmt werden. Ein Hacker könnte so ein Skript zur automatischen Einwahl und systematischer Passwort-Abfrage ausführen. Der Host kann auch durch mehrere parallele Aufrufe in seiner Arbeitsweise eingeschränkt werden (Brute-Force-Attack). Im ungünstigsten Fall wird ein Totalausfall erzwungen.