Le protocole d'authentification des mots de passe est un moyen d'envoyer des mots de passe via un réseau.Les mots de passe sont envoyés non cryptés après un lien initial établi avec l'ordinateur distant.Ce protocole n'est pas considéré comme sûr et n'est utilisé que lors de la connexion à un ancien ordinateur UNIX qui ne prend pas en charge l'authentification plus sécurisée.

La connexion initiale est établie via une poignée de main bidirectionnelle.Une fois le lien initial établi, puis la paire ID / mot de passe est envoyée au serveur distant.La demande d'authentification est envoyée à plusieurs reprises du client jusqu'à ce que la demande soit reconnue ou résiliée.Pour accepter le mot de passe, le serveur distant doit transmettre un paquet de protocole d'authentification de mot de passe avec le codé défini sur Authenticiate-Aack.Si le mot de passe n'est pas accepté, le serveur distant doit transmettre un paquet de protocole d'authentification de mot de passe avec le codé défini sur Authenticiate-NAK et la connexion est terminée.

Le protocole d'authentification des mots de passe est considéré comme une méthode non sécurisée pour transmettre des mots de passe.Les mots de passe sont envoyés sur le réseau sous forme de texte brut et sont facilement lisibles à partir des paquets de protocole point à point (PPP).Il n'y a aucun dispositif de protection en place pour sécuriser le mot de passe à partir de reniflement de mot de passe, de lecture ou d'attaques d'essai et d'erreur.En outre, le client est en charge de la fréquence et du calendrier des tentatives de connexion de mot de passe.

Le protocole d'authentification du mot de passe a été dépassé par des protocoles plus sécurisés tels que le protocole de main de main (CAP) et le protocole d'authentification extensible (EAP).Les protocoles les plus sécurisés utilisent des techniques de chiffrement à des fins d'authentification.Chap est utilisé par les serveurs PPP.EAP est utilisé par les réseaux sans fil et les connexions point à point.

Le protocole de poignée de main de défi vérifie l'identité du client via une poignée de main à trois et un secret partagé.Une fois le lien initial établi, le serveur distant envoie un message de défi au client.Le client calcule une fonction de hachage unidirectionnelle qui combine le défi et le secret et renvoie la fonction de hachage au serveur.

Le serveur vérifie la valeur par rapport à sa propre valeur calculée et reconnaît la connexion si elle correspond.Si les valeurs de hachage ne correspondent pas, la connexion est terminée.Cette procédure est répétée à intervalles aléatoires tandis que le client et le serveur sont connectés.

Le protocole d'authentification extensible est un cadre d'authentification, et non un véritable protocole d'authentification.EAP définit uniquement le format de message et fournit des fonctions communes et la négociation des méthodes d'authentification.Il existe un grand nombre de protocoles EAP définis à la fois par la demande de commentaires (RFC) et par des fournisseurs spécifiques.