Top-Fragen
Zeitleiste
Chat
Kontext

MS-CHAP

Aus Wikipedia, der freien Enzyklopädie

Remove ads

MS-CHAP ist die Microsoft-Version des Challenge-Handshake Authentication Protocol (CHAP).

Versionen

Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in RFC 2433) und MS-CHAPv2 (definiert in RFC 2759). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in Windows NT 4.0 SP4 enthalten war und zu Windows 98 im "Windows 98 Dial-Up Networking Security Upgrade Release"[1] und zu Windows 95 im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit Windows Vista stellte Microsoft die Unterstützung für MS-CHAPv1 ein.

Remove ads

Anwendungen

MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des PPTP-Protokolls für virtuelle private Netzwerke (VPNs). Es wird auch als Authentifizierungsoption mit RADIUS-Servern[2] die mit IEEE 802.1X eingesetzt werden (z. B. WiFi-Sicherheit mit dem WPA-Enterprise-Protokoll). Des Weiteren wird es als die Hauptauthentifizierungsoption des Protected Extensible Authentication Protocol (PEAP) verwendet.

Remove ads

Features

Im Vergleich zu CHAP[3] funktioniert MS-CHAP[4][5] folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.

Thumb
Ablauf eines MSCHAPv2 Flusses

MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.

MS-CHAP erfordert, dass jeder Peer entweder das Klartext-Passwort oder einen MD4-Hash des Passworts kennt, und überträgt das Passwort nicht über die Verbindung. Daher ist es mit den meisten Passwortspeicherformaten nicht kompatibel.

Sicherheitsprobleme

Zusammenfassung
Kontext

Die Authentifizierung mit MS-CHAPv2 gilt bereits seit längerer Zeit als geknackt, wird aber in bestimmten Szenarien mit Windows-Computern immer noch eingesetzt.[6] Microsoft weist darauf hin, dass Organisationen, die MS-CHAP v2 ohne Kapselung in Verbindung mit PPTP-Tunneln verwenden, eine potenziell unsichere Konfiguration nutzen.[7]

Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.[8][9][10] Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.[11]

Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2^56 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.[12]

Nach Windows 11 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von "Windows Defender Credential Guard" nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder EAP-TLS).[13]

Remove ads

Siehe auch

Einzelnachweise

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads