MS-CHAP es la versión de Microsoft del Protocolo de autenticación por desafío mutuo , CHAP. El protocolo existe en dos versiones, MS-CHAPv1 (definido en RFC 2433) y MS-CHAPv2 (definido en RFC 2759). MS-CHAPv2 se introdujo con pptp3-fix que se incluía en Windows NT 4.0 SP4 y se agregó a Windows 98 en la "Versión de actualización de seguridad de acceso telefónico a redes de Windows 98" [1] y Windows 95 en el "Rendimiento de acceso telefónico a redes 1.3 & Actualización de seguridad para la actualización de MS Windows 95 ". Windows Vista eliminó la compatibilidad con MS-CHAPv1.
MS-CHAP se utiliza como una opción de autenticación en la implementación de Microsoft del protocolo PPTP para redes privadas virtuales . También se usa como una opción de autenticación con servidores RADIUS [2] que se usan con IEEE 802.1X (por ejemplo, seguridad WiFi usando el protocolo WPA-Enterprise ). Además, se utiliza como la principal opción de autenticación del Protocolo de autenticación extensible protegido (PEAP).
En comparación con CHAP, [3] MS-CHAP: [4] [5]
- se habilita negociando el algoritmo CHAP 0x80 (0x81 para MS-CHAPv2) en la opción 3 de LCP, Protocolo de autenticación
- proporciona un mecanismo de cambio de contraseña controlado por un autenticador
- proporciona un mecanismo de reintento de autenticación controlado por autenticador
- define los códigos de falla devueltos en el campo de mensaje de paquete de falla
MS-CHAPv2 proporciona autenticación mutua entre pares al incorporar un desafío de pares en el paquete de respuesta y una respuesta de autenticador en el paquete de éxito.
Criptoanálisis
Se han identificado varias debilidades en MS-CHAP y MS-CHAPv2. [6] El cifrado DES utilizado en NTLMv1 y MS-CHAPv2 para cifrar el hash de contraseña NTLM hace que los ataques personalizados de hardware que utilizan el método de fuerza bruta sean factibles. [7]
Ver también
Referencias
- ^ "Notas de la versión de actualización de seguridad de acceso telefónico a redes de Windows 98 (agosto de 1998)" . Soporte . Microsoft. Agosto de 1998.
- ^ Atributos RADIUS específicos del proveedor de Microsoft . doi : 10.17487 / RFC2548 . RFC 2548 .
- ^ Protocolo de autenticación por desafío mutuo (CHAP) de PPP . doi : 10.17487 / RFC1994 . RFC 1994 .
- ^ Extensiones de Microsoft PPP CHAP . doi : 10.17487 / RFC2433 . RFC 2433 .
- ^ Extensiones de Microsoft PPP CHAP, versión 2 . doi : 10.17487 / RFC2759 . RFC 2759 .
- ^ Schneier, Bruce ; Mudge; Wagner, David (19 de octubre de 1999). "Criptoanálisis de las extensiones de autenticación PPTP de Microsoft (MS-CHAPv2)" (PDF) . schneier.com .
- ^ Eisinger, Jochen (23 de julio de 2001). "Explotación de los agujeros de seguridad conocidos en las extensiones de autenticación PPTP de Microsoft (MS-CHAPv2)" (PDF) . penguin-breeder.org .