什么是密碼身份驗證協議

PAP是一種身份驗證協議,是一種最不安全的身份證協議，是一種當客戶端不支持其它身份認證協議時才被用來連接到PPP服務器的方法。它需要用戶輸入密碼才能訪問安全系統。用戶的名稱和密碼通過線路發送到服務器,并在那里與—個用戶帳戶名和密碼數據庫進行比較。這種技術容易受到竊聽的攻擊,因為某人可能截獲密碼并使用它登錄到系統。

多數情況下,不建議使用PAP。因為在身份驗證過程中，您的密碼可以被很容易地從點對點協議 (PPP) 數據包中讀取。不過,如果沒有更好的驗證方案可用,有些驗證系統還得求助于PAP，如連接到基于UNIX的舊遠程訪問服務器。通過在遠程訪問服務器上禁用對PAP的支持，撥號客戶端就不會發送明文密碼。禁用PAP支持可提高身份驗證的安全性，但是僅支持PAP的遠程訪問客戶端將無法連接。

CHAP(詢問握手身份驗證協議)是一種替換協議。它使用三次握手來實現對網絡節點的定期審查和認可，當鏈路建立時CHAP應該已經完成并且在鏈路建立以后，必要時可以重復審查過程。這一點使CHAP較PAP更為有效。PAP只進行一次身份認證，這使它很易被黑客進行數據重放，而且PAP允許客戶端發起認證申請，這也導致它易被黑客攻擊。因此CHAP不允許客戶端在沒有收到挑戰消息的情況下發起認證申請。在PPP鏈路建立以后，服務器將會發送挑戰消息到遠端，遠端將回送一個響應值，然后服務器根據自己的值對返回值進行驗證，如果吻合，認證將通過確認，否則，鏈路終止。
CHAP使用唯一且不可預知的挑戰數據來防止回放攻擊，挑戰數字的目的就是限制數據攻擊的時間。區域服務器（如網景商業服務器）可以控制發送挑戰消息的頻率和時間。

?