Аутентификация - Протокол за удостоверяване на Microsoft Challenge ръкостискане (MS-CHAP)
MS-CHAP
Microsoft разработи специфична версия на CHAP, наречена MS-CHAP (Microsoft Challenge Handshake Authentication Protocol версия 1, понякога обозначена като MS-CHAP-v1), подобрявайки цялостната сигурност. В действителност CHAP изисква паролите да се прехвърлят в обикновен текст по мрежата, което е потенциална уязвимост. MS-CHAP осигурява хеш функция за съхраняване (чрез хеш) на паролата на сървъра. Когато отдалечената машина реагира на предизвикателството, и трябва да хешира паролата, използвайки собствения алгоритъм.
За съжаление протоколът MS-CHAP-v1 страда от уязвимости в сигурността, свързани със слабости в собствената хеш-функция.
MS-CHAP v2
Версия 2 на MS-CHAP, MS-CHAP, наречена V2, беше поставена през януари 2000 г. (RFC 2759). Тази нова версия на протокола дефинира метод на "взаимно удостоверяване", който позволява на сървъра за удостоверяване и отдалечената машина да проверяват самоличността си. Процесът е както следва:
- Сървърът за удостоверяване изпраща заявка за проверка (идентификатор на сесия и произволен низ) на отдалечения клиент.
Отдалеченият клиент отговаря с:
- неговото потребителско име,
- хеш, съдържащ произволен низ, предоставен от сървъра за удостоверяване, идентификатора на сесията и паролата,
- произволен низ.
Сървърът за удостоверяване проверява отговора от отдалечения клиент и на свой ред изпраща:
- уведомление за успех или неуспех на удостоверяването
- криптиран отговор, базиран на произволния низ, предоставен от отдалечения клиент.
Отдалеченият клиент след това проверява отговора и ако успее, установява връзката.
Повече информация
RFC 2433 - Разширения на Microsoft PPP CHAP
RFC 2759 - Разширения на Microsoft PPP CHAP, Версия 2
Оригинален документ, публикуван на CommentcaMarche.net.