MS-CHAP

MS-CHAP - это версия протокола аутентификации с вызовом и рукопожатием ( CHAP) от Microsoft. Протокол существует в двух версиях: MS-CHAPv1 (определено в RFC 2433) и MS-CHAPv2 (определено в RFC 2759). MS-CHAPv2 был представлен с pptp3-fix, который был включен в Windows NT 4.0 SP4 и был добавлен в Windows 98 в «Выпуске обновления безопасности удаленного доступа к сети Windows 98» и Windows 95 в «Обновление производительности и безопасности удаленного доступа 1.3. для MS Windows 95 "обновление. Windows Vista отказалась от поддержки MS-CHAPv1.

MS-CHAP используется как один из вариантов аутентификации в реализации протокола PPTP для виртуальных частных сетей Microsoft. Он также используется в качестве опции аутентификации с серверами RADIUS, которые используются с IEEE 802.1X (например, безопасность WiFi с использованием протокола WPA-Enterprise ). Кроме того, он используется в качестве основного варианта аутентификации протокола защищенной расширенной аутентификации (PEAP).

По сравнению с CHAP, MS-CHAP:

• включается согласованием алгоритма CHAP 0x80 (0x81 для MS-CHAPv2) в опции 3 LCP, протокол аутентификации
• обеспечивает механизм смены пароля под управлением аутентификатора
• обеспечивает управляемый аутентификатором механизм повторной попытки аутентификации
• определяет коды ошибок, возвращаемые в поле сообщения пакета сбоя

MS-CHAPv2 обеспечивает взаимную аутентификацию между одноранговыми узлами, совмещая вызов однорангового узла в пакете ответа и ответ аутентификатора в пакете успеха.

В MS-CHAP и MS-CHAPv2 было обнаружено несколько слабых мест. DES шифрования, используемый в NTLMv1 и MS-CHAPv2 для шифрования NTLM хэш пароля сделать пользовательские аппаратные атаки, использующие метод грубой силы осуществимым.

• Взломщик EFF DES