Todennus - Microsoft Challenge Handshake Authentication Protocol (MS-CHAP)

MS-CHAP

Microsoft on kehittänyt tietyn version CHAP: stä, nimeltään MS-CHAP (Microsoft Challenge Handshake Authentication Protocol -versio 1, jota joskus kutsutaan MS-CHAP-v1: ksi), parantamalla yleistä turvallisuutta. Itse asiassa CHAP edellyttää, että salasanat siirretään pelkkänä tekstinä verkon kautta, mikä on mahdollinen haavoittuvuus. MS-CHAP tarjoaa hajautustoiminnon tallentamaan salasanan palvelimelle (hajauttamalla). Kun etälaite reagoi haasteeseen, ja sen täytyy hajauttaa salasana omalla algoritmilla.

Valitettavasti MS-CHAP-v1-protokolla kärsii tietoturvaheikkoista, jotka liittyvät patentoidun hash-toiminnon heikkouksiin.

MS-CHAP v2

MS-CHAP: n versio 2, MS-CHAP-niminen V2 asetettiin tammikuussa 2000 (RFC 2759). Tämä pöytäkirjan uusi versio määrittelee niin kutsutun "keskinäisen todennuksen" menetelmän, jonka avulla autentikointipalvelin ja etälaite voivat tarkistaa henkilöllisyytensä. Prosessi on seuraava:

Todennuspalvelin lähettää varmennuspyynnön (istunnon tunnisteen ja satunnaisen merkkijonon) etäasiakkaalle.

Etäasiakas vastaa seuraavasti:

sen käyttäjänimi,
hash-sisältö, joka sisältää mielivaltaisen merkkijonon, joka on peräisin autentikointipalvelimesta, istunnon tunnuksesta ja salasanasta,
satunnainen merkkijono.

Todennuspalvelin tarkistaa etäasiakkaan vastauksen ja lähettää sen puolestaan: