口令是最簡單也最常用的一種接入控制與身份認證手段。所謂簡單口令就是日常生活中經常使用的口令,普通老百姓常稱之為“密碼”,在分佈式環境與移動應用領域更被廣泛使用，到现在很多系統的認證技術都基於簡單口令。系統提前保存用戶的身份信息與口令字。當被認證對象提出訪問服務的系統時,給出服務的認證方需被認證對象提交口令信息,認證方收到口令後,比較它和系統里存儲的用戶口令,來辨認被認證對象是不是合法訪問者。這種認證方式叫做簡單口令協議(PAP)認證。

PAP協議只操作於連接建立階段，數據傳輸過程中不實施PAP認證。

這種認證方法的好處是簡單有效、實用便捷、費用低廉、使用靈活,因此,一般系統如UNIX、Windows NT、NetWare等都可支持口令認證,對封閉的小型系統而言也算是一種簡單行得通的方法。然而,基於口令的認證方法顯然有如下不足。

(1)用戶每訪問系統的時候均需顺利获得明文的方式輸進口令,很輕易讓內存中運行的黑客軟件記下從而導致泄密。

(2)口令在傳輸時可能會遭遇截獲。因用明文在網絡上傳輸,只要局域網內存在Sniffer,那麼一點沒有安全性可言。

(3)竊取口令者只需口令的位數比較少,也無需生僻的字符做口令,用如今的計算速度破解口令並不難。

(4)認證系統集中管理口令的安全性。全部用戶的口令顺利获得文件或數據庫存儲形式存於認證方,攻擊者可用服務系統中有的漏洞獲取用戶口令。

(5)發放與修改口令均會涉及到非常多的安全性問題,僅需要有個環節發生泄露,那麼身份認證也就沒有了意義。

(6)為方便記憶,用戶很可能向多個不一樣安全級別的系統均設置了同樣的口令，低安全級別系統的口令很易讓攻擊者取得,從而用於攻擊高安全級別系統。

(7)只可實施單向認證,也就是系統可認證用戶,但用戶無法認證系統。攻擊者可能裝為認證系統騙用戶的口令。

基於口令的認證方法僅是認證的初期階段,有特別多的安全隱患。對口令認證協議的主要攻擊手段有口令猜測攻擊、中間人攻擊、竊取憑證攻擊、拒絕服務攻擊等。现在的口令認證協議如果能抵抗以上攻擊則認為是安全的。

口令的加密傳輸與存儲是簡單口令機制的改進手段。因傳的為用戶口令的密文形式,系統只存儲口令的密文,除此之外系統入侵者還能藉助離線方式向口令密文進行字典攻擊。