El acceso remoto de esta versión de Windows admite los protocolos de autenticación de acceso remoto enumerados en la tabla siguiente. Se muestran en orden de seguridad descendente. Se recomienda usar el Protocolo de autenticación extensible (EAP) y el Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAPv2), y evitar el uso del Protocolo de autenticación por desafío mutuo (CHAP) y el Protocolo de autenticación de contraseña (PAP).

ProtocoloDescripciónNivel de seguridad

EAP

Permite la autenticación arbitraria de una conexión de acceso remoto por medio del uso de esquemas de autenticación, lo que se conoce como tipos EAP.

EAP ofrece el mayor nivel de seguridad proporcionando la máxima flexibilidad en las variaciones de autenticación. Para obtener más información, vea https://go.microsoft.com/fwlink/?linkid=140608 (puede estar en inglés).

MS-CHAP v2

Admite la autenticación mutua bidireccional. El cliente de acceso remoto recibe confirmación de que el servidor de acceso remoto al que está llamando tiene acceso a la contraseña del usuario.

MS-CHAP v2 ofrece más seguridad que CHAP. Para obtener más información, vea MS-CHAP v2 (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=140609).

CHAP

Usa el esquema de hash MD5 (síntesis del mensaje 5) estándar del sector para cifrar la respuesta.

CHAP supone una mejora con respecto a PAP, ya que la contraseña no se envía a través del enlace PPP. CHAP exige una versión de texto simple de la contraseña para validar la respuesta al desafío. CHAP no protege frente a la suplantación del servidor remoto. Para obtener más información, vea CHAP (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=140610).

PAP

Usa contraseñas de texto simple. Se suele emplear cuando el cliente y el servidor de acceso remoto no pueden negociar una forma de validación más segura.

PAP es el protocolo de autenticación menos seguro. No protege frente a ataques de reproducción, suplantación del cliente remoto ni suplantación del servidor remoto. Para obtener más información, vea PAP (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=140611).

Acceso no autenticado

RRAS también es compatible con el acceso no autenticado, lo que significa que no se necesitan credenciales de usuario (un nombre de usuario y una contraseña). Existen situaciones en las que el acceso no autenticado resulta útil. Para obtener más información, vea Acceso no autenticado (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=73649).

Seguridad Nota
  • Cuando el acceso no autenticado está habilitado, los usuarios de acceso remoto se conectan sin necesidad de enviar sus credenciales de usuario. Un cliente de acceso remoto no autenticado no negocia el uso de un protocolo de autenticación común durante el proceso de establecimiento de conexión ni envía un nombre de usuario o una contraseña.
  • El acceso remoto no autenticado con clientes de acceso remoto puede producirse cuando los protocolos de autenticación configurados por el cliente de acceso remoto no coinciden con los configurados en el servidor de acceso remoto. En este caso, no se negocia el uso de un protocolo de autenticación común ni el cliente de acceso remoto envía un nombre de usuario y una contraseña.

Referencias adicionales


Tabla de contenido