MS-CHAP

MS-CHAP — это Microsoft версия протокола аутентификации Challenge-Handshake (CHAP).

Версии

Протокол существует в двух версиях: MS-CHAPv1 (определенный в RFC 2433 ) и MS-CHAPv2 (определено в RFC 2759 ). MS-CHAPv2 был представлен вместе с исправлением pptp3, которое было включено в Windows NT 4.0 SP4 и было добавлено в Windows 98 в «Выпуске обновления безопасности коммутируемого доступа к сети Windows 98». ^[1] и Windows 95 в обновлении «Обновление производительности и безопасности удаленного доступа 1.3 для MS Windows 95». В Windows Vista прекращена поддержка MS-CHAPv1.

Приложения

MS-CHAP используется в качестве одного из вариантов аутентификации в реализации Microsoft протокола PPTP для виртуальных частных сетей . Он также используется как вариант аутентификации с RADIUS. ^[2] серверы, которые используются с IEEE 802.1X (например, Wi-Fi безопасность с использованием протокола WPA-Enterprise ). Далее он используется в качестве основного варианта аутентификации защищенного расширяемого протокола аутентификации (PEAP).

Функции

По сравнению с CHAP, ^[3] МС-ЧАП: ^[4]^[5] работает путем согласования алгоритма CHAP 0x80 (0x81 для MS-CHAPv2) в опции 3 LCP, протокол аутентификации. Он обеспечивает механизм смены пароля, управляемый аутентификатором. Он обеспечивает механизм повторной попытки аутентификации, управляемый аутентификатором, и определяет коды ошибок, возвращаемые в поле сообщения пакета сбоя.

MS-CHAPv2 обеспечивает взаимную аутентификацию между одноранговыми узлами путем объединения запроса однорангового узла в пакете ответа и ответа аутентификатора в пакете успеха.

MS-CHAP требует, чтобы каждый узел знал либо пароль в виде открытого текста, либо хэш пароля MD4, и не передает пароль по ссылке. Таким образом, он несовместим с большинством форматов хранения паролей .

Недостатки

Слабые места были выявлены в MS-CHAP и MS-CHAPv2. ^[6] Шифрование DES , используемое в NTLMv1 и MS-CHAPv2 для шифрования хэша пароля NTLM, позволяет осуществлять пользовательские аппаратные атаки с использованием метода грубой силы. ^[7]

По состоянию на 2012 год MS-CHAP был полностью сломан. ^[8]

После Windows 11 22H2 с активацией Credential Guard в Защитнике Windows по умолчанию пользователи больше не могут проходить аутентификацию с помощью MSCHAPv2. Разработчики рекомендуют перейти от подключений на основе MSCHAPv2 к аутентификации на основе сертификатов (например, PEAP-TLS или EAP-TLS). ^[9]

См. также

Крекер EFF DES

Ссылки

^ «Примечания к выпуску обновления безопасности коммутируемого доступа к сети Windows 98 (август 1998 г.)» . Поддерживать . Майкрософт. Август 1998 года.
^ Атрибуты RADIUS, зависящие от поставщика Microsoft . дои : 10.17487/RFC2548 . РФК 2548 .
^ Протокол аутентификации рукопожатия вызова PPP (CHAP) . дои : 10.17487/RFC1994 . РФК 1994 .
^ Расширения Microsoft PPP CHAP . дои : 10.17487/RFC2433 . РФК 2433 .
^ Расширения Microsoft PPP CHAP, версия 2 . дои : 10.17487/RFC2759 . РФК 2759 .
^ Шнайер, Брюс ; Мадж; Вагнер, Дэвид (19 октября 1999 г.). «Криптоанализ расширений аутентификации PPTP от Microsoft (MS-CHAPv2)» (PDF) . schneier.com .
^ Эйзингер, Йохен (23 июля 2001 г.). «Использование известных дыр в безопасности в расширениях аутентификации PPTP от Microsoft (MS-CHAPv2)» (PDF) . penguin-breeder.org .
^ «Разделяй и властвуй: взлом MS-CHAPv2 со 100% вероятностью успеха» . Дэвид Халтон . 2012. Архивировано из оригинала 16 марта 2016 года . Проверено 10 марта 2013 г.
^ «Соображения по использованию Credential Guard в Защитнике Windows — Безопасность Windows» . Learn.microsoft.com . 27 января 2023 г.

[1] «Примечания к выпуску обновления безопасности коммутируемого доступа к сети Windows 98 (август 1998 г.)» . Поддерживать . Майкрософт. Август 1998 года.

[2] Атрибуты RADIUS, зависящие от поставщика Microsoft . дои : 10.17487/RFC2548 . РФК 2548 .

[3] Протокол аутентификации рукопожатия вызова PPP (CHAP) . дои : 10.17487/RFC1994 . РФК 1994 .

[4] Расширения Microsoft PPP CHAP . дои : 10.17487/RFC2433 . РФК 2433 .

[5] Расширения Microsoft PPP CHAP, версия 2 . дои : 10.17487/RFC2759 . РФК 2759 .

[6] Шнайер, Брюс ; Мадж; Вагнер, Дэвид (19 октября 1999 г.). «Криптоанализ расширений аутентификации PPTP от Microsoft (MS-CHAPv2)» (PDF) . schneier.com .

[7] Эйзингер, Йохен (23 июля 2001 г.). «Использование известных дыр в безопасности в расширениях аутентификации PPTP от Microsoft (MS-CHAPv2)» (PDF) . penguin-breeder.org .

[8] «Разделяй и властвуй: взлом MS-CHAPv2 со 100% вероятностью успеха» . Дэвид Халтон . 2012. Архивировано из оригинала 16 марта 2016 года . Проверено 10 марта 2013 г.

[9] «Соображения по использованию Credential Guard в Защитнике Windows — Безопасность Windows» . Learn.microsoft.com . 27 января 2023 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

v т и Аутентификация
Аутентификация API	Аутентификация BSD (BSD Auth) Электронная аутентификация (eAuth) Общий API служб безопасности (GSSAPI) Служба аутентификации и авторизации Java (JAAS) Подключаемые модули аутентификации (PAM) Простой уровень аутентификации и безопасности (SASL) Интерфейс поставщика поддержки безопасности (SSPI) API универсальной базы данных XCert (XUDA)
Аутентификация протоколы	АКФ2 Соглашение об аутентификации и ключах (AKA) Аутентификация на основе CAVE Протокол аутентификации с вызовом и рукопожатием (CHAP) MS-CHAP Центральная служба аутентификации (CAS) КРАМ-МД5 Диаметр Расширяемый протокол аутентификации (EAP) Протокол идентификации хоста (HIP) ИндиАут Керберос Менеджер локальной сети NT-менеджер локальной сети (NTLM) OAuth OpenID OpenID Connect (OIDC) соглашения о ключах с аутентификацией паролем Протоколы Протокол аутентификации пароля (PAP) Защищенный расширяемый протокол аутентификации (PEAP) Служба удаленного доступа с коммутируемым доступом (RADIUS) Средство контроля доступа к ресурсам (RACF) Протокол безопасного удаленного пароля (SRP) ТАКАКС Ву-Лам
Категория Коммонс