Le protocole PPP présente de nombreuses caractéristiques, dont l'authentification de couche 2, en plus des autres couches d'authentification qui sont le chiffrement, le contrôle d'accès et les procédures générales de sécurité.
Initialisation PAP
Le protocole PAP procure une méthode simple permettant à un nœud distant d'établir son identité à l'aide d'un échange en deux étapes. PAP n'est pas interactif. Lorsque la commande ppp authentication pap est utilisée, le nom d'utilisateur et le mot de passe sont envoyés dans un seul package de données LCP, plutôt que le serveur envoie une invite de connexion et attende une réponse, comme illustré à la Figure 1. Une fois que le protocole PPP a terminé la phase d'établissement de la liaison, le nœud distant envoie régulièrement une paire mot de passe/nom d'utilisateur sur la liaison, jusqu'à ce que le nœud de réception en accuse réception ou mette fin à la connexion.
Finalisation PAP
Sur le nœud de réception, la combinaison nom d'utilisateur/mot de passe est vérifiée par un serveur d'authentification qui autorise ou refuse la connexion. Un message d'acceptation ou de rejet est renvoyé au demandeur, comme illustré à la Figure 2.
Le protocole PAP n'est pas un protocole d'authentification très efficace. Avec le protocole PAP, les mots de passe sont envoyés sur la liaison en texte clair, et il ne comporte aucune protection contre la lecture ou les attaques répétées par tâtonnement. Le nœud distant contrôle la fréquence et la durée des tentatives de connexion.
Néanmoins, il peut arriver que l'utilisation de PAP soit justifiée. Par exemple, malgré ses inconvénients, le protocole PAP peut être utilisé dans les environnements suivants :
- une base étendue d'applications client qui ne prennent pas en charge CHAP ;
- lorsque des implémentations de CHAP par des fournisseurs multiples sont incompatibles ;
- dans les situations où le mot de passe en clair doit être disponible pour simuler une connexion sur un hôte distant.