Top-Fragen
Zeitleiste
Chat
Kontext
MS-CHAP
Aus Wikipedia, der freien Enzyklopädie
Remove ads
MS-CHAP ist die Microsoft-Version des Challenge-Handshake Authentication Protocol (CHAP).
Versionen
Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in RFC 2433) und MS-CHAPv2 (definiert in RFC 2759). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in Windows NT 4.0 SP4 enthalten war und zu Windows 98 im "Windows 98 Dial-Up Networking Security Upgrade Release"[1] und zu Windows 95 im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit Windows Vista stellte Microsoft die Unterstützung für MS-CHAPv1 ein.
Remove ads
Anwendungen
MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des PPTP-Protokolls für virtuelle private Netzwerke (VPNs). Es wird auch als Authentifizierungsoption mit RADIUS-Servern[2] die mit IEEE 802.1X eingesetzt werden (z. B. WiFi-Sicherheit mit dem WPA-Enterprise-Protokoll). Des Weiteren wird es als die Hauptauthentifizierungsoption des Protected Extensible Authentication Protocol (PEAP) verwendet.
Remove ads
Features
Im Vergleich zu CHAP[3] funktioniert MS-CHAP[4][5] folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.

MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.
MS-CHAP erfordert, dass jeder Peer entweder das Klartext-Passwort oder einen MD4-Hash des Passworts kennt, und überträgt das Passwort nicht über die Verbindung. Daher ist es mit den meisten Passwortspeicherformaten nicht kompatibel.
Sicherheitsprobleme
Zusammenfassung
Kontext
Die Authentifizierung mit MS-CHAPv2 gilt bereits seit längerer Zeit als geknackt, wird aber in bestimmten Szenarien mit Windows-Computern immer noch eingesetzt.[6] Microsoft weist darauf hin, dass Organisationen, die MS-CHAP v2 ohne Kapselung in Verbindung mit PPTP-Tunneln verwenden, eine potenziell unsichere Konfiguration nutzen.[7]
Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.[8][9][10] Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.[11]
Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2^56 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.[12]
Nach Windows 11 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von "Windows Defender Credential Guard" nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder EAP-TLS).[13]
Remove ads
Siehe auch
Einzelnachweise
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads