Protocolos de autenticacion

Protocolo de autenticación de contraseña (PAP)

El Protocolo de autenticación de contraseña (PAP, Password Authentication Protocol) es un protocolo de autenticación simple en el que el nombre de usuario y la contraseña se envían al servidor de acceso remoto como texto simple (sin cifrar). No se recomienda utilizar PAP, ya que las contraseñas pueden leerse fácilmente en los paquetes del Protocolo punto a punto (PPP, Point-to-Point Protocol) intercambiados durante el proceso de autenticación. PAP suele utilizarse únicamente al conectar a servidores de acceso remoto antiguos basados en UNIX que no admiten métodos de autenticación más seguros.
Protocolo de autenticación por desafío mutuo (CHAP)

El Protocolo de autenticación por desafío mutuo (CHAP, Challenge Handshake Authentication Protocol) es un método de autenticación muy utilizado en el que se envía una representación de la contraseña del usuario, no la propia contraseña. Con CHAP, el servidor de acceso remoto envía un desafío al cliente de acceso remoto. El cliente de acceso remoto utiliza un algoritmo hash (también denominado función hash) para calcular un resultado hash de Message Digest-5 (MD5) basado en el desafío y un resultado hash calculado con la contraseña del usuario. El cliente de acceso remoto envía el resultado hash MD5 al servidor de acceso remoto. El servidor de acceso remoto, que también tiene acceso al resultado hash de la contraseña del usuario, realiza el mismo cálculo con el algoritmo hash y compara el resultado con el que envió el cliente. Si los resultados coinciden, las credenciales del cliente de acceso remoto se consideran auténticas. El algoritmo hash proporciona cifrado unidireccional, lo que significa que es sencillo calcular el resultado hash para un bloque de datos, pero resulta matemáticamente imposible determinar el bloque de datos original a partir del resultado hash.
Protocolo de autenticación de contraseña de Shiva (SPAP)

El Protocolo de autenticación de contraseña de Shiva (SPAP, Shiva Password Authentication Protocol) es un protocolo de autenticación simple de contraseña cifrada compatible con servidores de acceso remoto de Shiva. Con SPAP, el cliente de acceso remoto envía una contraseña cifrada al servidor de acceso remoto. SPAP utiliza un algoritmo de cifrado bidireccional. El servidor de acceso remoto descifra la contraseña y utiliza el formato sin cifrar para autenticar al cliente de acceso remoto.
Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP)

Microsoft creó MS-CHAP para autenticar estaciones de trabajo Windows remotas, integrando la funcionalidad a la que los usuarios de redes LAN están habituados con los algoritmos de hash utilizados en las redes Windows. Al igual que CHAP, MS-CHAP utiliza un mecanismo de desafío y respuesta para autenticar conexiones sin enviar contraseñas.

MS-CHAP utiliza el algoritmo de hash de Message Digest 4 (MD4) y el algoritmo de cifrado de Estándar de cifrado de datos (DES, Data Encryption Standard) para generar el desafío y la respuesta. MS-CHAP también proporciona mecanismos para informar acerca de errores de conexión y para cambiar la contraseña del usuario. El paquete de respuesta está en un formato diseñado para funcionar con productos de redes en Windows 95, Windows 98, Windows Millennium Edition, Windows NT, Windows 2000, Windows XP y la familia Windows Server 2003.
Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2)

La familia Windows Server 2003 admite MS-CHAP v2, que proporciona autenticación mutua, la generación de claves de cifrado de datos iniciales más seguras para Cifrado punto a punto de Microsoft (MPPE) y distintas claves de cifrado para los datos enviados y los datos recibidos. Para reducir al mínimo el riesgo de que una contraseña se vea comprometida durante su cambio, no se admiten métodos más antiguos que el cambio de contraseña de MS-CHAP.

Como MS-CHAP v2 es más seguro que MS-CHAP, se ofrece antes que MS-CHAP (si está habilitado) para todas las conexiones.

MS-CHAP v2 puede utilizarse en equipos que ejecutan Windows XP, Windows 2000, Windows 98, Windows Millennium Edition y Windows NT versión 4.0. Los equipos que ejecutan Windows 95 sólo admiten MS-CHAP v2 para las conexiones VPN, no para las de acceso telefónico.
Protocolo de autenticación extensible (EAP)

El Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) es una extensión del Protocolo punto a punto (PPP) que admite métodos de autenticación arbitrarios que utilizan intercambios de credenciales e información de longitudes arbitrarias. EAP se ha desarrollado como respuesta a la creciente demanda de métodos de autenticación que utilizan dispositivos de seguridad, como las tarjetas inteligentes, tarjetas de identificación y calculadoras de cifrado. EAP proporciona una arquitectura estándar para aceptar métodos de autenticación adicionales junto con PPP.

Mediante EAP, se pueden admitir esquemas de autenticación adicionales, conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas de identificación, contraseñas de un solo uso, autenticación por clave pública mediante tarjetas inteligentes y certificados. EAP, junto con los tipos de EAP seguros, es un componente tecnológico crítico para las conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros, como los basados en certificados, ofrecen mayor seguridad frente a ataques físicos o de diccionario, y de investigación de contraseñas, que otros métodos de autenticación basados en contraseña, como CHAP o MS-CHAP.

Para averiguar si se está utilizando un tipo de EAP en su organización, póngase en contacto con el administrador de la red.
Autenticación por tarjeta inteligente y otros certificados

Si tiene un certificado de usuario instalado en el almacén de certificados del equipo o en una tarjeta inteligente, el Protocolo de autenticación extensible (EAP) está habilitado y el tipo EAP (EAP-TLS) Tarjeta inteligente u otro certificado está seleccionado, puede utilizar autenticación basada en certificados en un único proceso de inicio de sesión en la red, lo que proporciona un almacenamiento resistente a intrusos para la información de autenticación.

Un certificado es un conjunto de credenciales de autenticación cifradas. El certificado incluye una firma digital de la entidad emisora de certificados que ha emitido el certificado. En el proceso de autenticación mediante certificados de EAP-TLS, el equipo presenta su certificado de usuario al servidor de acceso remoto y el servidor presenta al equipo su certificado de equipo; por tanto, la autenticación es mutua. Los certificados se autentican mediante una clave pública que comprueba la firma digital incluida. La firma digital está contenida en un certificado de una emisora de certificados raíz de confianza almacenado en el equipo. Estos certificados raíz de confianza son la base de la comprobación de certificados. En la familia Windows Server 2003 se proporcionan muchos certificados raíz de confianza. Sólo debe agregar o quitar certificados raíz en los que se confía si se lo aconseja el administrador del sistema.

Los certificados pueden residir en el almacén de certificados del equipo o en una tarjeta inteligente. Una tarjeta inteligente es un dispositivo del tamaño de una tarjeta de crédito que se inserta en lector de tarjetas inteligentes, que puede estar instalado internamente en el equipo o conectado de forma externa.

Si configura las opciones avanzadas de seguridad de una conexión, puede optar por utilizar una tarjeta inteligente u otro certificado, y puede especificar ciertos requisitos de los certificados. Por ejemplo, puede especificar que debe validarse el certificado de equipo del servidor, que el nombre del servidor debe terminar en un valor específico y que el certificado de equipo del servidor debe ser emitido por una entidad emisora de certificados raíz de confianza específica.

Cuando hace doble clic en Asistente para conexión nueva en la carpeta Conexiones de red y tiene instalado un lector de tarjetas inteligentes, Windows lo detecta y pide que lo utilice como método de autenticación para la conexión. Si decide no utilizar la tarjeta inteligente en el momento de crear la conexión, puede modificar la conexión posteriormente para que utilice la tarjeta inteligente u otro certificado. Para obtener más información, vea Habilitar la tarjeta inteligente y otros certificados.

Si es miembro de un dominio de Active Directory y necesita pedir un certificado, vea Solicitar un certificado. Si no es miembro de un dominio de Active Directory activo o necesita pedir un certificado desde Internet, vea Enviar una solicitud de certificado de usuario a través del Web. Para obtener información acerca de usuarios móviles y certificados, veaUsuarios móviles y certificados.