Protocolo de autenticación de contraseña (PAP)
El Protocolo de autenticación de contraseña (PAP, Password
Authentication Protocol) es un protocolo de autenticación simple en el
que el nombre de usuario y la contraseña se envían al servidor de acceso
remoto como texto simple (sin cifrar). No se recomienda utilizar PAP,
ya que las contraseñas pueden leerse fácilmente en los paquetes del
Protocolo punto a punto (PPP, Point-to-Point Protocol) intercambiados
durante el proceso de autenticación. PAP suele utilizarse únicamente al
conectar a servidores de acceso remoto antiguos basados en UNIX que no
admiten métodos de autenticación más seguros.
Protocolo de autenticación por desafío mutuo (CHAP)
El Protocolo de autenticación por desafío mutuo (CHAP, Challenge
Handshake Authentication Protocol) es un método de autenticación muy
utilizado en el que se envía una representación de la contraseña del
usuario, no la propia contraseña. Con CHAP, el servidor de acceso remoto
envía un desafío al cliente de acceso remoto. El cliente de acceso
remoto utiliza un algoritmo hash (también denominado función hash) para
calcular un resultado hash de Message Digest-5 (MD5) basado en el
desafío y un resultado hash calculado con la contraseña del usuario. El
cliente de acceso remoto envía el resultado hash MD5 al servidor de
acceso remoto. El servidor de acceso remoto, que también tiene acceso al
resultado hash de la contraseña del usuario, realiza el mismo cálculo
con el algoritmo hash y compara el resultado con el que envió el
cliente. Si los resultados coinciden, las credenciales del cliente de
acceso remoto se consideran auténticas. El algoritmo hash proporciona
cifrado unidireccional, lo que significa que es sencillo calcular el
resultado hash para un bloque de datos, pero resulta matemáticamente
imposible determinar el bloque de datos original a partir del resultado
hash.
Protocolo de autenticación de contraseña de Shiva (SPAP)
El Protocolo de autenticación de contraseña de Shiva (SPAP, Shiva
Password Authentication Protocol) es un protocolo de autenticación
simple de contraseña cifrada compatible con servidores de acceso remoto
de Shiva. Con SPAP, el cliente de acceso remoto envía una contraseña
cifrada al servidor de acceso remoto. SPAP utiliza un algoritmo de
cifrado bidireccional. El servidor de acceso remoto descifra la
contraseña y utiliza el formato sin cifrar para autenticar al cliente de
acceso remoto.
Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP)
Microsoft creó MS-CHAP para autenticar estaciones de trabajo Windows
remotas, integrando la funcionalidad a la que los usuarios de redes LAN
están habituados con los algoritmos de hash utilizados en las redes
Windows. Al igual que CHAP, MS-CHAP utiliza un mecanismo de desafío y
respuesta para autenticar conexiones sin enviar contraseñas.
MS-CHAP utiliza el algoritmo de hash de Message Digest 4 (MD4) y el algoritmo de cifrado de Estándar de cifrado de datos (DES, Data Encryption Standard)
para generar el desafío y la respuesta. MS-CHAP también proporciona
mecanismos para informar acerca de errores de conexión y para cambiar la
contraseña del usuario. El paquete de respuesta está en un formato
diseñado para funcionar con productos de redes en Windows 95,
Windows 98, Windows Millennium Edition, Windows NT, Windows 2000,
Windows XP y la familia Windows Server 2003.
Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2)
La familia Windows Server 2003 admite MS-CHAP v2, que proporciona
autenticación mutua, la generación de claves de cifrado de datos
iniciales más seguras para Cifrado punto a punto de Microsoft (MPPE) y
distintas claves de cifrado para los datos enviados y los datos
recibidos. Para reducir al mínimo el riesgo de que una contraseña se vea
comprometida durante su cambio, no se admiten métodos más antiguos que
el cambio de contraseña de MS-CHAP.
Como MS-CHAP v2 es más seguro que MS-CHAP, se ofrece antes que MS-CHAP (si está habilitado) para todas las conexiones.
MS-CHAP v2 puede utilizarse en equipos que ejecutan Windows XP,
Windows 2000, Windows 98, Windows Millennium Edition y Windows NT
versión 4.0. Los equipos que ejecutan Windows 95 sólo admiten MS-CHAP v2
para las conexiones VPN, no para las de acceso telefónico.
Protocolo de autenticación extensible (EAP)
El Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol)
es una extensión del Protocolo punto a punto (PPP) que admite métodos
de autenticación arbitrarios que utilizan intercambios de credenciales e
información de longitudes arbitrarias. EAP se ha desarrollado como
respuesta a la creciente demanda de métodos de autenticación que
utilizan dispositivos de seguridad, como las tarjetas inteligentes,
tarjetas de identificación y calculadoras de cifrado. EAP proporciona
una arquitectura estándar para aceptar métodos de autenticación
adicionales junto con PPP.
Mediante EAP, se pueden admitir esquemas de autenticación adicionales,
conocidos como tipos EAP. Entre estos esquemas se incluyen las tarjetas
de identificación, contraseñas de un solo uso, autenticación por clave
pública mediante tarjetas inteligentes y certificados. EAP, junto con
los tipos de EAP seguros, es un componente tecnológico crítico para las
conexiones de red privada virtual (VPN) seguras. Los tipos EAP seguros,
como los basados en certificados, ofrecen mayor seguridad frente a
ataques físicos o de diccionario, y de investigación de contraseñas, que
otros métodos de autenticación basados en contraseña, como CHAP o
MS-CHAP.
Para averiguar si se está utilizando un tipo de EAP en su organización, póngase en contacto con el administrador de la red.
Autenticación por tarjeta inteligente y otros certificados
Si tiene un certificado de usuario instalado en el almacén de
certificados del equipo o en una tarjeta inteligente, el Protocolo de
autenticación extensible (EAP) está habilitado y el tipo EAP (EAP-TLS) Tarjeta inteligente u otro certificado está
seleccionado, puede utilizar autenticación basada en certificados en un
único proceso de inicio de sesión en la red, lo que proporciona un
almacenamiento resistente a intrusos para la información de
autenticación.
Un certificado es un conjunto de credenciales de autenticación cifradas.
El certificado incluye una firma digital de la entidad emisora de
certificados que ha emitido el certificado. En el proceso de
autenticación mediante certificados de EAP-TLS, el equipo presenta su
certificado de usuario al servidor de acceso remoto y el servidor
presenta al equipo su certificado de equipo; por tanto, la autenticación
es mutua. Los certificados se autentican mediante una clave pública que
comprueba la firma digital incluida. La firma digital está contenida en
un certificado de una emisora de certificados raíz de confianza
almacenado en el equipo. Estos certificados raíz de confianza son la
base de la comprobación de certificados. En la familia Windows
Server 2003 se proporcionan muchos certificados raíz de confianza. Sólo
debe agregar o quitar certificados raíz en los que se confía si se lo
aconseja el administrador del sistema.
Los certificados pueden residir en el almacén de certificados del equipo
o en una tarjeta inteligente. Una tarjeta inteligente es un dispositivo
del tamaño de una tarjeta de crédito que se inserta en lector de
tarjetas inteligentes, que puede estar instalado internamente en el
equipo o conectado de forma externa.
Si configura las opciones avanzadas de seguridad de una conexión, puede
optar por utilizar una tarjeta inteligente u otro certificado, y puede
especificar ciertos requisitos de los certificados. Por ejemplo, puede
especificar que debe validarse el certificado de equipo del servidor,
que el nombre del servidor debe terminar en un valor específico y que el
certificado de equipo del servidor debe ser emitido por una entidad
emisora de certificados raíz de confianza específica.
Cuando hace doble clic en Asistente para conexión nueva en
la carpeta Conexiones de red y tiene instalado un lector de tarjetas
inteligentes, Windows lo detecta y pide que lo utilice como método de
autenticación para la conexión. Si decide no utilizar la tarjeta
inteligente en el momento de crear la conexión, puede modificar la
conexión posteriormente para que utilice la tarjeta inteligente u otro
certificado. Para obtener más información, vea Habilitar la tarjeta
inteligente y otros certificados.
Si es miembro de un dominio de Active Directory y necesita pedir un
certificado, vea Solicitar un certificado. Si no es miembro de un
dominio de Active Directory activo o necesita pedir un certificado desde
Internet, vea Enviar una solicitud de certificado de usuario a través
del Web. Para obtener información acerca de usuarios móviles y
certificados, veaUsuarios móviles y certificados.