Mentre solo il creatore di un dispositivo può darti la risposta canonica su quel dispositivo, ci sono alcuni fattori che generalmente spiegano perché solo PAP è supportato su molte piattaforme:
- PAP è vecchio (RFC 1334 è stato pubblicato nel 1992), quindi era praticamente l'unica scelta standardizzata. Anche dopo che gli standard più recenti (e probabilmente migliori) sono stati rilasciati (come CHAP nel 1996 e EAP nel 1998 con gli aggiornamenti nel 2004), le aziende potrebbero ancora utilizzare il codice PAP già scritto nei prodotti esistenti e spostarlo semplicemente nei loro nuovi prodotti. / li>
- PAP è facile da implementare, non è necessario comprendere meccanismi di crittografia complessi.
- C'è un modo semplice per aggiungere un altro livello di sicurezza, quindi non c'è alcun incentivo a risolverlo. (Vedere l'ultimo paragrafo di seguito)
In verità però, PAP come usato da RADIUS in realtà non invia la password in chiaro. Invece, XORs la password con un hash MD5 basato su un segreto condiviso. Anche se questo è considerato non sicuro, è ancora almeno un po 'meglio del testo in chiaro.
La migliore risposta pratica per un uso sicuro di PAP consiste nel tunneling del traffico RADIUS attraverso una VPN (tunnel IPSec o simile). Questo sta diventando una pratica standard quando si tratta comunque di connessioni RADIUS, poiché potrebbero esserci anche altri dati sensibili dell'utente oltre alla password che deve essere protetta.