MS-CHAP
這是此頁批准,以及是最近的修訂。
MS-CHAP是微軟版本的挑戰握手認證協定(CHAP)。 這个協定有兩个版本,MS-CHAPv 一(佇咧 RFC 兩千四百三十三當中定義)和 MS-CHAPv 二(佇咧 RFC 兩千七百五十九中定義)。 MS-CHAPv 二在 Windows NT 四配零 SP 四中引入來,尾仔去予加著 Windows 九十八(通過 " Windows 九十八 Dial-Up Networking Security Upgrade Release ")和 Windows 九十五(通過 " Dial Up Networking 一孵三 Performance & Security Update for MS Windows 九十五 " 升級)中去。Windows Vista 無閣再支援 MS-CHAPv 一。
MS-CHAP 予人當做一个認證協定,佇咧 VPN / PPP 中使用。伊閣當做用來提供 WiFi 安全的 RADIUS 侍服器的一个認證選項,後者使用 WPA 企業版協定。此後,伊閣較予人用做保護會當延伸身份驗證協定(PEAP)的主要安全選項。
佮 CHAP 相比並,MS-CHAP:
- 佇咧 LCP 選項三中協商 CHAP 演算法替零 x 八十(MS-CHAPv 二為零 x 八十一)
- 提供一个認證者控制的密碼變更機制
- 提供一个認證者控制的認證重試機制
- 定義矣佇失敗報文訊息域內底倒轉來的失敗碼
MS-CHAPv 二通過佇咧回應報文中紮對端挑戰以及佇成功報文中紮認證者回應來實現雙向認證。
安全弱點佮密碼分析
目前已經佇咧 MS-CHAPv 二中揣著一寡弱點,其中有一寡大幅度降低野蠻攻擊的複雜度,予佇現代的硬體頂懸變甲會當。
- Cryptanalysis of Microsoft's PPTP Authentication Extensions ( MS-CHAPv 二 ) , co-written by Bruce Schneier
- Exploiting known security holes in Microsoft's PPTP Authentication Extensions ( MS-CHAPv 二 ) , by Jochen Eisinger
二空一二年,破解 MS-CHAPv 二的複雜度被降低到佮破解一个 DES 金鎖相仝:
- Divide and Conquer : Cracking MS-CHAPv 二 with a 百分之一百 success rate by Moxie Marlinspike .
參考資料
- RFC 一千九百九十四–PPP 挑戰握手認證協定(CHAP)
- RFC 兩千四百三十三–MS-CHAPv 一
- RFC 兩千五百四十八–RADIUS 封裝的 MS-CHAPv 一和 MS-CHAPv 二
- RFC 兩千七百五十九–MS-CHAPv 二
- Microsoft Knowledge Base Article KB 十八堵九千七百七十一–MS Windows 九十八 Dial-Up Networking Security Upgrade Release Notes