MS-CHAP - Versionsgeschichte

At40mha: Hilfe:Wikisyntax/Validierung#Ignoriertes Tag behoben

2025-11-27T22:19:45Z

Hilfe:Wikisyntax/Validierung#Ignoriertes Tag behoben

← Nächstältere Version		Version vom 27. November 2025, 23:19 Uhr
Zeile 19:		Zeile 19:
	Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html \|titel=Der Todesstoß für PPTP \|hrsg=heise online \|datum=2012-09-22 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref> Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.<ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref>		Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html \|titel=Der Todesstoß für PPTP \|hrsg=heise online \|datum=2012-09-22 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref> Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.<ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref>

	Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2<v>56</sup> möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref>		Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2<sup>56</sup> möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref>

	Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von „Windows Defender Credential Guard“ nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS\|EAP-TLS]]).<ref>{{Internetquelle \|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations \|titel=Considerations when using Windows Defender Credential Guard \|werk=learn.microsoft.com \|hrsg=Windows Security \|datum=2023-01-27 \|abruf=}}</ref>		Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von „Windows Defender Credential Guard“ nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS\|EAP-TLS]]).<ref>{{Internetquelle \|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations \|titel=Considerations when using Windows Defender Credential Guard \|werk=learn.microsoft.com \|hrsg=Windows Security \|datum=2023-01-27 \|abruf=}}</ref>

PerfektesChaos: tk k

2025-11-27T21:06:40Z

tk k

← Nächstältere Version		Version vom 27. November 2025, 22:06 Uhr
Zeile 1:		Zeile 1:
		⚫	'''MS-CHAP''' ist die [[Microsoft]]-Version des [[Challenge Handshake Authentication Protocol\|Challenge-Handshake Authentication Protocol]] (CHAP).

⚫	'''MS-CHAP''' ist die [[Microsoft]]-Version des [[Challenge Handshake Authentication Protocol\|Challenge-Handshake Authentication Protocol]] (CHAP).

	== Versionen ==		== Versionen ==
	Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in [[Request for Comments\|RFC]] 2433) und MS-CHAPv2 (definiert in [[Request for Comments\|RFC]] 2759). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in [[Microsoft Windows NT\|Windows NT]] 4.0 SP4 enthalten war und zu [[Microsoft Windows 98\|Windows 98]] im "Windows 98 Dial-Up Networking Security Upgrade Release"<ref>{{~~cite~~ ~~web~~ \|~~title~~=Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998) \|~~date=1998-08 \|publisher~~=Microsoft \|~~url~~=~~https://support.microsoft.com/en~~-~~us/kb/189771~~ \|~~website~~=~~Support~~}}</ref> und zu [[Microsoft Windows 95\|Windows 95]] im ~~"Dial~~ Up Networking 1.3 Performance & Security Update for MS Windows ~~95"~~ Upgrade hinzugefügt wurde. Mit [[Microsoft Windows Vista\|Windows Vista]] stellte Microsoft die Unterstützung für MS-CHAPv1 ein.		Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in [[Request for Comments\|RFC]] 2433) und MS-CHAPv2 (definiert in [[Request for Comments\|RFC]] 2759). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in [[Microsoft Windows NT\|Windows NT]] 4.0 SP4 enthalten war und zu [[Microsoft Windows 98\|Windows 98]] im "Windows 98 Dial-Up Networking Security Upgrade Release"<ref>{{Internetquelle \|url=https://support.microsoft.com/en-us/kb/189771 \|titel=Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998) \|hrsg=Microsoft Support \|datum=1998-08 \|abruf=}}</ref> und zu [[Microsoft Windows 95\|Windows 95]] im „Dial Up Networking 1.3 Performance & Security Update for MS Windows 95“ Upgrade hinzugefügt wurde. Mit [[Microsoft Windows Vista\|Windows Vista]] stellte Microsoft die Unterstützung für MS-CHAPv1 ein.

	== Anwendungen ==		== Anwendungen ==
	MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol\|PPTP]]-Protokolls für [[Virtual Private Network\|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>~~[[rfc:~~2548\|''Microsoft Vendor-specific RADIUS Attributes''.]]		MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol\|PPTP]]-Protokolls für [[Virtual Private Network\|virtuelle private Netzwerke (VPNs)]] verwendet. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>{{RFC-Internet \|RFC=2548 \|Titel=Microsoft Vendor-specific RADIUS Attributes \|Datum=}}</ref> die mit [[Institute of Electrical and Electronics Engineers\|IEEE]] [[IEEE 802.1X\|802.1X]] eingesetzt werden (z. B. [[Wi-Fi\|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access\|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[Protected Extensible Authentication Protocol]] (PEAP) verwendet.

	[[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC2548]]. [[Request for Comments\|RFC]] [[rfc:2548\|2548]].</ref> die mit [[Institute of Electrical and Electronics Engineers\|IEEE]] [[IEEE 802.1X\|802.1X]] eingesetzt werden (z. B. [[Wi-Fi\|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access\|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[Protected Extensible Authentication Protocol]] (PEAP) verwendet.

	== Features ==		== Features ==
	Im Vergleich zu CHAP<ref>~~''[[rfc:~~1994\|PPP Challenge Handshake Authentication Protocol (CHAP)~~]]''.~~ ~~[[Digital Object Identifier~~\|~~doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC1994]]. [[Request for Comments\|RFC]] [[rfc:1994\|1994]].~~</ref> funktioniert MS-CHAP<ref>~~''[[rfc:~~2433\|Microsoft PPP CHAP Extensions~~]]''. [[Digital Object~~ ~~Identifier~~\|~~doi]]:[[doi:10.17487/RFC2433\|10.17487/RFC2433]]. [[Request for Comments\|RFC]] [[rfc:2433\|2433]].~~</ref><ref>~~[[rfc:~~2759\|''Microsoft PPP CHAP Extensions, Version 2~~''.]]~~ ~~[[Digital Object Identifier~~\|~~doi]]:[[doi:10.17487/RFC2759\|10.17487/RFC2759]]. [[Request for Comments\|RFC]] [[rfc:2759\|2759]].~~</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.		Im Vergleich zu CHAP<ref>{{RFC-Internet \|RFC=1994 \|Titel=PPP Challenge Handshake Authentication Protocol (CHAP) \|Datum=}}</ref> funktioniert MS-CHAP<ref>{{RFC-Internet \|RFC=2433 \|Titel=Microsoft PPP CHAP Extensions \|Datum=}}</ref><ref>{{RFC-Internet \|RFC=2759 \|Titel=Microsoft PPP CHAP Extensions, Version 2 \|Datum=}}</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.
	[[Datei:MSCHAPv2 Flow.pdf\|mini\|Ablauf eines MSCHAPv2 Flusses]]		[[Datei:MSCHAPv2 Flow.pdf\|mini\|Ablauf eines MSCHAPv2 Flusses]]
	MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.		MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.

	MS-CHAP erfordert, dass jeder Peer entweder das Klartext-Passwort oder einen MD4-Hash des Passworts kennt, und überträgt das Passwort nicht über die Verbindung. Daher ist es mit den meisten [[Passwort]]<nowiki/>speicherformaten nicht kompatibel.		MS-CHAP erfordert, dass jeder Peer entweder das Klartext-Passwort oder einen MD4-Hash des Passworts kennt, und überträgt das Passwort nicht über die Verbindung. Daher ist es mit den meisten [[Passwort]]<nowiki />speicherformaten nicht kompatibel.

	== Sicherheitsprobleme ==		== Sicherheitsprobleme ==
	Die Authentifizierung mit MS-CHAPv2 gilt bereits seit längerer Zeit als geknackt, wird aber in bestimmten Szenarien mit [[Microsoft Windows\|Windows]]-Computern immer noch eingesetzt.<ref>{{Internetquelle \|url=https://www.elektronik-kompendium.de/sites/net/0906181.htm \|titel=MS-CHAPv2 - Microsoft CHAP \|abruf=2025-08-06}}</ref> Microsoft weist darauf hin, dass Organisationen, die MS-CHAP v2 ohne [[Datenkapselung (Programmierung)\|Kapselung]] in Verbindung mit [[PPTP]]-Tunneln verwenden, eine potenziell unsichere Konfiguration nutzen.<ref>{{Internetquelle \|url=https://support.microsoft.com/de-de/topic/implementieren-der-peap-ms-chap-v2-authentifizierung-f%C3%BCr-microsoft-pptp-vpns-d5ca1ebe-d9ee-4379-fd3f-e7be05fa3ae2 \|titel=Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft-PPTP-VPNs - Microsoft-Support \|abruf=2025-08-06}}</ref>		Die Authentifizierung mit MS-CHAPv2 gilt bereits seit längerer Zeit als geknackt, wird aber in bestimmten Szenarien mit [[Microsoft Windows\|Windows]]-Computern immer noch eingesetzt.<ref>{{Internetquelle \|url=https://www.elektronik-kompendium.de/sites/net/0906181.htm \|titel=MS-CHAPv2 – Microsoft CHAP \|abruf=2025-08-06}}</ref> Microsoft weist darauf hin, dass Organisationen, die MS-CHAP v2 ohne [[Datenkapselung (Programmierung)\|Kapselung]] in Verbindung mit [[Point-to-Point Tunneling Protocol\|PPTP]]-Tunneln verwenden, eine potenziell unsichere Konfiguration nutzen.<ref>{{Internetquelle \|url=https://support.microsoft.com/de-de/topic/implementieren-der-peap-ms-chap-v2-authentifizierung-f%C3%BCr-microsoft-pptp-vpns-d5ca1ebe-d9ee-4379-fd3f-e7be05fa3ae2 \|titel=Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft-PPTP-VPNs - Microsoft-Support \|abruf=2025-08-06}}</ref>

	Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.<ref>{{Internetquelle ~~\|autor=heise online~~ \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle ~~\|autor=heise online~~ \|url=https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html \|titel=Der Todesstoß für PPTP \|datum=2012-09-22 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication ~~{{!}}~~ MSRC Blog ~~{{!}}~~ Microsoft Security Response Center \|abruf=2025-08-06}}</ref> Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.<ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication ~~{{!}}~~ MSRC Blog ~~{{!}}~~ Microsoft Security Response Center \|abruf=2025-08-06}}</ref>		Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html \|titel=Der Todesstoß für PPTP \|hrsg=heise online \|datum=2012-09-22 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref> Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.<ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref>

	Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2^56 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle ~~\|autor=heise online~~ \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref>		Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2<v>56</sup> möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref>

	Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von ~~"Windows~~ Defender Credential ~~Guard"~~ nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS\|EAP-TLS]]).<ref>{{~~Cite web \|title=Considerations when using Windows Defender Credential Guard - Windows Security \|date=2023-01-27~~ \|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations \|~~website~~=learn.microsoft.com}}</ref>		Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von „Windows Defender Credential Guard“ nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS\|EAP-TLS]]).<ref>{{Internetquelle \|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations \|titel=Considerations when using Windows Defender Credential Guard \|werk=learn.microsoft.com \|hrsg=Windows Security \|datum=2023-01-27 \|abruf=}}</ref>

	== Siehe auch ==		== Siehe auch ==

	* [[EFF DES Cracker\|EFF DES cracker]]		* [[EFF DES Cracker\|EFF DES cracker]]

	== Einzelnachweise ==		== Einzelnachweise ==
	<references />		<references />

	[[Kategorie:Authentifizierungsprotokoll]]		[[Kategorie:Authentifizierungsprotokoll]]
	[[Kategorie:Internetprotokollfamilie]]		[[Kategorie:Internetprotokollfamilie]]

Squasher: Interwikilink gem. Richtlinie unerwünscht, daher entfernt bzw. angepasst

2025-08-09T06:04:22Z

Interwikilink gem. Richtlinie unerwünscht, daher entfernt bzw. angepasst

← Nächstältere Version		Version vom 9. August 2025, 07:04 Uhr
Zeile 3:		Zeile 3:

	== Versionen ==		== Versionen ==
	Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in [[Request for Comments\|RFC]] ~~[https://www.rfc-editor.org/rfc/rfc2433~~ 2433]) und MS-CHAPv2 (definiert in [[Request for Comments\|RFC]] ~~[https://www.rfc-editor.org/rfc/rfc2759~~ 2759]). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in [[Microsoft Windows NT\|Windows NT]] 4.0 SP4 enthalten war und zu [[Microsoft Windows 98\|Windows 98]] im "Windows 98 Dial-Up Networking Security Upgrade Release"<ref>{{cite web \|title=Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998) \|date=1998-08 \|publisher=Microsoft \|url=https://support.microsoft.com/en-us/kb/189771 \|website=Support}}</ref> und zu [[Microsoft Windows 95\|Windows 95]] im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit [[Microsoft Windows Vista\|Windows Vista]] stellte Microsoft die Unterstützung für MS-CHAPv1 ein.		Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in [[Request for Comments\|RFC]] 2433) und MS-CHAPv2 (definiert in [[Request for Comments\|RFC]] 2759). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in [[Microsoft Windows NT\|Windows NT]] 4.0 SP4 enthalten war und zu [[Microsoft Windows 98\|Windows 98]] im "Windows 98 Dial-Up Networking Security Upgrade Release"<ref>{{cite web \|title=Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998) \|date=1998-08 \|publisher=Microsoft \|url=https://support.microsoft.com/en-us/kb/189771 \|website=Support}}</ref> und zu [[Microsoft Windows 95\|Windows 95]] im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit [[Microsoft Windows Vista\|Windows Vista]] stellte Microsoft die Unterstützung für MS-CHAPv1 ein.

	== Anwendungen ==		== Anwendungen ==
	MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol\|PPTP]]-Protokolls für [[Virtual Private Network\|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>[[rfc:2548\|''Microsoft Vendor-specific RADIUS Attributes''.]]		MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol\|PPTP]]-Protokolls für [[Virtual Private Network\|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>[[rfc:2548\|''Microsoft Vendor-specific RADIUS Attributes''.]]

	[[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC2548]]. [[Request for Comments\|RFC]] [[rfc:2548\|2548]].</ref> die mit [[Institute of Electrical and Electronics Engineers\|IEEE]] [[IEEE 802.1X\|802.1X]] eingesetzt werden (z. B. [[Wi-Fi\|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access\|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[~~:en:Protected_Extensible_Authentication_Protocol\|~~Protected Extensible Authentication Protocol (PEAP)]] verwendet.		[[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC2548]]. [[Request for Comments\|RFC]] [[rfc:2548\|2548]].</ref> die mit [[Institute of Electrical and Electronics Engineers\|IEEE]] [[IEEE 802.1X\|802.1X]] eingesetzt werden (z. B. [[Wi-Fi\|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access\|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[Protected Extensible Authentication Protocol]] (PEAP) verwendet.

	== Features ==		== Features ==

Invisigoth67: form

2025-08-07T07:01:15Z

form

← Nächstältere Version		Version vom 7. August 2025, 08:01 Uhr
Zeile 3:		Zeile 3:

	== Versionen ==		== Versionen ==
	Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in [[Request for Comments\|RFC]] [https://www.rfc-editor.org/rfc/rfc2433 2433]) und MS-CHAPv2 (definiert in [[Request for Comments\|RFC]] [https://www.rfc-editor.org/rfc/rfc2759 2759]). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in [[Microsoft Windows NT\|Windows NT]] 4.0 SP4 enthalten war und zu [[Microsoft Windows 98\|Windows 98]] im "Windows 98 Dial-Up Networking Security Upgrade Release"<ref>{{cite web \|title=Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998) \|date=~~August~~ 1998 \|publisher=Microsoft \|url=https://support.microsoft.com/en-us/kb/189771 \|website=Support}}</ref> und zu [[Microsoft Windows 95\|Windows 95]] im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit [[Microsoft Windows Vista\|Windows Vista]] stellte Microsoft die Unterstützung für MS-CHAPv1 ein.		Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in [[Request for Comments\|RFC]] [https://www.rfc-editor.org/rfc/rfc2433 2433]) und MS-CHAPv2 (definiert in [[Request for Comments\|RFC]] [https://www.rfc-editor.org/rfc/rfc2759 2759]). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in [[Microsoft Windows NT\|Windows NT]] 4.0 SP4 enthalten war und zu [[Microsoft Windows 98\|Windows 98]] im "Windows 98 Dial-Up Networking Security Upgrade Release"<ref>{{cite web \|title=Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998) \|date=1998-08 \|publisher=Microsoft \|url=https://support.microsoft.com/en-us/kb/189771 \|website=Support}}</ref> und zu [[Microsoft Windows 95\|Windows 95]] im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit [[Microsoft Windows Vista\|Windows Vista]] stellte Microsoft die Unterstützung für MS-CHAPv1 ein.

	== Anwendungen ==		== Anwendungen ==
	MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol\|PPTP]]-Protokolls für [[Virtual Private Network\|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>[[rfc:2548\|''Microsoft Vendor-specific RADIUS Attributes''.]]		MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol\|PPTP]]-Protokolls für [[Virtual Private Network\|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>[[rfc:2548\|''Microsoft Vendor-specific RADIUS Attributes''.]]

	[[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC2548]]. [[Request for Comments\|RFC]] [[rfc:2548\|2548]].</ref> die mit [[Institute of Electrical and Electronics Engineers\|IEEE]] [[IEEE 802.1X\|802.1X]] eingesetzt werden (z.B. [[Wi-Fi\|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access\|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[:en:Protected_Extensible_Authentication_Protocol\|Protected Extensible Authentication Protocol (PEAP)]] verwendet.		[[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC2548]]. [[Request for Comments\|RFC]] [[rfc:2548\|2548]].</ref> die mit [[Institute of Electrical and Electronics Engineers\|IEEE]] [[IEEE 802.1X\|802.1X]] eingesetzt werden (z. B. [[Wi-Fi\|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access\|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[:en:Protected_Extensible_Authentication_Protocol\|Protected Extensible Authentication Protocol (PEAP)]] verwendet.

	== Features ==		== Features ==
	Im Vergleich zu CHAP<ref>''[[rfc:1994\|PPP Challenge Handshake Authentication Protocol (CHAP)]]''. [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC1994]]. [[Request for Comments\|RFC]] [[rfc:1994\|1994]].</ref> funktioniert MS-CHAP<ref>''[[rfc:2433\|Microsoft PPP CHAP Extensions]]''. [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2433\|10.17487/RFC2433]]. [[Request for Comments\|RFC]] [[rfc:2433\|2433]].</ref><ref>[[rfc:2759\|''Microsoft PPP CHAP Extensions, Version 2''.]] [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2759\|10.17487/RFC2759]]. [[Request for Comments\|RFC]] [[rfc:2759\|2759]].</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.		Im Vergleich zu CHAP<ref>''[[rfc:1994\|PPP Challenge Handshake Authentication Protocol (CHAP)]]''. [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC1994]]. [[Request for Comments\|RFC]] [[rfc:1994\|1994]].</ref> funktioniert MS-CHAP<ref>''[[rfc:2433\|Microsoft PPP CHAP Extensions]]''. [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2433\|10.17487/RFC2433]]. [[Request for Comments\|RFC]] [[rfc:2433\|2433]].</ref><ref>[[rfc:2759\|''Microsoft PPP CHAP Extensions, Version 2''.]] [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2759\|10.17487/RFC2759]]. [[Request for Comments\|RFC]] [[rfc:2759\|2759]].</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.
	[[Datei:~~MSCHAPv2_Flow~~.pdf\|mini\|Ablauf eines MSCHAPv2 Flusses]]		[[Datei:MSCHAPv2 Flow.pdf\|mini\|Ablauf eines MSCHAPv2 Flusses]]
	MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.		MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.

Zeile 24:		Zeile 24:
	Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2^56 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle \|autor=heise online \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref>		Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2^56 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle \|autor=heise online \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref>

		⚫	Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von "Windows Defender Credential Guard" nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS\|EAP-TLS]]).<ref>{{Cite web \|title=Considerations when using Windows Defender Credential Guard - Windows Security \|date=2023-01-27 \|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations \|website=learn.microsoft.com}}</ref>

⚫	Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von "Windows Defender Credential Guard" nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS\|EAP-TLS]]).<ref>{{Cite web \|title=Considerations when using Windows Defender Credential Guard - Windows Security \|date=~~January 27,~~ 2023 \|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations \|website=learn.microsoft.com}}</ref>

	== Siehe auch ==		== Siehe auch ==

Chewbacca2205: 100 Versionen von :en:MS-CHAP importiert: WP:IMP * user:Luke081515Bot

2025-08-06T13:03:53Z

100 Versionen von en:MS-CHAP importiert: WP:IMP * user:Luke081515Bot

← Nächstältere Version	Version vom 6. August 2025, 14:03 Uhr
(kein Unterschied)

TZRU: Erstellt durch Übersetzen der Seite „MS-CHAP“

2025-08-06T12:16:47Z

Erstellt durch Übersetzen der Seite „MS-CHAP“

← Nächstältere Version		Version vom 6. August 2025, 13:16 Uhr
Zeile 6:		Zeile 6:

	== Anwendungen ==		== Anwendungen ==
	MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol\|PPTP]]-Protokolls für [[Virtual Private Network\|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>~~{{Cite IETF\|~~rfc=2548\|~~title=~~Microsoft Vendor-specific RADIUS Attributes}}</ref> die mit [[Institute of Electrical and Electronics Engineers\|IEEE]] [[IEEE 802.1X\|802.1X]] eingesetzt werden (z.B. [[Wi-Fi\|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access\|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[:en:Protected_Extensible_Authentication_Protocol\|Protected Extensible Authentication Protocol (PEAP)]] verwendet.		MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol\|PPTP]]-Protokolls für [[Virtual Private Network\|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>[[rfc:2548\|''Microsoft Vendor-specific RADIUS Attributes''.]]

			[[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC2548]]. [[Request for Comments\|RFC]] [[rfc:2548\|2548]].</ref> die mit [[Institute of Electrical and Electronics Engineers\|IEEE]] [[IEEE 802.1X\|802.1X]] eingesetzt werden (z.B. [[Wi-Fi\|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access\|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[:en:Protected_Extensible_Authentication_Protocol\|Protected Extensible Authentication Protocol (PEAP)]] verwendet.

	== Features ==		== Features ==
	Im Vergleich zu CHAP<ref>~~{{cite IETF\|~~rfc=1994\|~~title=~~PPP Challenge Handshake Authentication Protocol (CHAP)}}</ref> funktioniert MS-CHAP<ref>~~{{Cite IETF\|~~rfc=2433\|~~title=~~Microsoft PPP CHAP Extensions}}</ref><ref>~~{{Cite IETF\|~~rfc=2759\|~~title=~~Microsoft PPP CHAP Extensions, Version 2}}</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.		Im Vergleich zu CHAP<ref>''[[rfc:1994\|PPP Challenge Handshake Authentication Protocol (CHAP)]]''. [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2548\|10.17487/RFC1994]]. [[Request for Comments\|RFC]] [[rfc:1994\|1994]].</ref> funktioniert MS-CHAP<ref>''[[rfc:2433\|Microsoft PPP CHAP Extensions]]''. [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2433\|10.17487/RFC2433]]. [[Request for Comments\|RFC]] [[rfc:2433\|2433]].</ref><ref>[[rfc:2759\|''Microsoft PPP CHAP Extensions, Version 2''.]] [[Digital Object Identifier\|doi]]:[[doi:10.17487/RFC2759\|10.17487/RFC2759]]. [[Request for Comments\|RFC]] [[rfc:2759\|2759]].</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.
	[[Datei:MSCHAPv2_Flow.pdf\|mini\|Ablauf eines MSCHAPv2 Flusses]]		[[Datei:MSCHAPv2_Flow.pdf\|mini\|Ablauf eines MSCHAPv2 Flusses]]
	MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.		MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.

TZRU: Erstellt durch Übersetzen der Seite „MS-CHAP“

2025-08-06T12:05:48Z

Erstellt durch Übersetzen der Seite „MS-CHAP“

@@ Zeile 1: / Zeile 1: @@
-== Applications ==
+== Versionen ==
 == Features ==
-Compared with CHAP,<ref>{{cite IETF |rfc=1994 |title=PPP Challenge Handshake Authentication Protocol (CHAP)}}</ref> MS-CHAP:<ref>{{Cite IETF |rfc=2433 |title=Microsoft PPP CHAP Extensions}}</ref><ref>{{Cite IETF |rfc=2759 |title=Microsoft PPP CHAP Extensions, Version 2}}</ref> works by negotiating CHAP Algorithm 0x80 (0x81 for MS-CHAPv2) in LCP option 3, Authentication Protocol. It provides an authenticator-controlled password change mechanism. It provides an authenticator-controlled authentication retry mechanism and defines failure codes returned in the Failure packet message field.
+Im Vergleich zu CHAP<ref>{{cite IETF|rfc=1994|title=PPP Challenge Handshake Authentication Protocol (CHAP)}}</ref> funktioniert MS-CHAP<ref>{{Cite IETF|rfc=2433|title=Microsoft PPP CHAP Extensions}}</ref><ref>{{Cite IETF|rfc=2759|title=Microsoft PPP CHAP Extensions, Version 2}}</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.
-[[File:MSCHAPv2_Flow.pdf|thumb]]
+[[Datei:MSCHAPv2_Flow.pdf|mini|Ablauf eines MSCHAPv2 Flusses]]
-== References ==
+== Siehe auch ==

2001:8003:26A1:A700:B7C3:67AC:17BB:A1E0: /* Flaws */

2025-02-02T13:29:38Z

Flaws

← Nächstältere Version		Version vom 2. Februar 2025, 14:29 Uhr
Zeile 18:		Zeile 18:
	Weaknesses have been identified in MS-CHAP and MS-CHAPv2.<ref>{{Cite web \|url=http://www.schneier.com/paper-pptpv2.pdf \|title=Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first1=Bruce \|last1=Schneier \|authorlink1=Bruce Schneier \|author2=Mudge \|first3=David \|last3=Wagner \|website=schneier.com \|date=19 October 1999 }}</ref> The [[Data Encryption Standard\|DES]] encryption used in NTLMv1 and MS-CHAPv2 to encrypt the [[NTLM]] password hash enable custom hardware attacks utilizing the method of brute force.<ref>{{Cite web \|url=http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf \|title=Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first=Jochen \|last=Eisinger \|date=23 July 2001 \|website=penguin-breeder.org}}</ref>		Weaknesses have been identified in MS-CHAP and MS-CHAPv2.<ref>{{Cite web \|url=http://www.schneier.com/paper-pptpv2.pdf \|title=Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first1=Bruce \|last1=Schneier \|authorlink1=Bruce Schneier \|author2=Mudge \|first3=David \|last3=Wagner \|website=schneier.com \|date=19 October 1999 }}</ref> The [[Data Encryption Standard\|DES]] encryption used in NTLMv1 and MS-CHAPv2 to encrypt the [[NTLM]] password hash enable custom hardware attacks utilizing the method of brute force.<ref>{{Cite web \|url=http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf \|title=Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first=Jochen \|last=Eisinger \|date=23 July 2001 \|website=penguin-breeder.org}}</ref>

	As of 2012, MS-CHAP had been completely broken. The divide-and-conquer attack only requires breaking a single DES key, which is not difficult with modern [[GPU]]s and [[FPGA]]s.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref> MS-CHAP as a whole can be viewed as a smoke and mirrors protocol, in that ~80% of the protocol provides no real security; it just makes the construction very complicated and thus appear infeasible to crack. In reality, this ~80% is either plaintext messages, or messages easily derived from those sent in plaintext. The actual security core is reduced to the NTLM password hash and DES encryptions keyed by the hash output, which is fundamentally weak.		As of 2012, MS-CHAP had been completely broken. The divide-and-conquer attack only requires breaking a single DES key, which is not difficult with modern [[GPU]]s and [[FPGA]]s.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref> MS-CHAP as a whole can be viewed as a smoke-and-mirrors protocol, in that ~80% of the protocol provides no real security; it just makes the construction very complicated and thus appear infeasible to crack. In reality, this ~80% is either plaintext messages, or messages easily derived from those sent in plaintext. The actual security core is reduced to the NTLM password hash and DES encryptions keyed by the hash output, which is fundamentally weak.

	After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>		After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>

2001:8003:26A1:A700:B7C3:67AC:17BB:A1E0: /* Flaws */Added details on an attack and flaws pertaining to MS-CHAP

2025-02-02T13:15:05Z

Flaws: Added details on an attack and flaws pertaining to MS-CHAP

← Nächstältere Version		Version vom 2. Februar 2025, 14:15 Uhr
Zeile 18:		Zeile 18:
	Weaknesses have been identified in MS-CHAP and MS-CHAPv2.<ref>{{Cite web \|url=http://www.schneier.com/paper-pptpv2.pdf \|title=Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first1=Bruce \|last1=Schneier \|authorlink1=Bruce Schneier \|author2=Mudge \|first3=David \|last3=Wagner \|website=schneier.com \|date=19 October 1999 }}</ref> The [[Data Encryption Standard\|DES]] encryption used in NTLMv1 and MS-CHAPv2 to encrypt the [[NTLM]] password hash enable custom hardware attacks utilizing the method of brute force.<ref>{{Cite web \|url=http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf \|title=Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first=Jochen \|last=Eisinger \|date=23 July 2001 \|website=penguin-breeder.org}}</ref>		Weaknesses have been identified in MS-CHAP and MS-CHAPv2.<ref>{{Cite web \|url=http://www.schneier.com/paper-pptpv2.pdf \|title=Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first1=Bruce \|last1=Schneier \|authorlink1=Bruce Schneier \|author2=Mudge \|first3=David \|last3=Wagner \|website=schneier.com \|date=19 October 1999 }}</ref> The [[Data Encryption Standard\|DES]] encryption used in NTLMv1 and MS-CHAPv2 to encrypt the [[NTLM]] password hash enable custom hardware attacks utilizing the method of brute force.<ref>{{Cite web \|url=http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf \|title=Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first=Jochen \|last=Eisinger \|date=23 July 2001 \|website=penguin-breeder.org}}</ref>

	As of 2012, MS-CHAP had been completely broken.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref>		As of 2012, MS-CHAP had been completely broken. The divide-and-conquer attack only requires breaking a single DES key, which is not difficult with modern [[GPU]]s and [[FPGA]]s.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref> MS-CHAP as a whole can be viewed as a smoke and mirrors protocol, in that ~80% of the protocol provides no real security; it just makes the construction very complicated and thus appear infeasible to crack. In reality, this ~80% is either plaintext messages, or messages easily derived from those sent in plaintext. The actual security core is reduced to the NTLM password hash and DES encryptions keyed by the hash output, which is fundamentally weak.

	After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>		After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>

en>Stout256: /* Flaws */ Add link to EAP-TLS

2024-11-23T12:09:15Z

Flaws: Add link to EAP-TLS

← Nächstältere Version		Version vom 23. November 2024, 13:09 Uhr
Zeile 20:		Zeile 20:
	As of 2012, MS-CHAP had been completely broken.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref>		As of 2012, MS-CHAP had been completely broken.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref>

	After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or EAP-TLS).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>		After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>

	==See also==		==See also==

← Nächstältere Version		Version vom 27. November 2025, 23:19 Uhr
Zeile 19:		Zeile 19:
	Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html \|titel=Der Todesstoß für PPTP \|hrsg=heise online \|datum=2012-09-22 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref> Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.<ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref>		Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html \|titel=Der Todesstoß für PPTP \|hrsg=heise online \|datum=2012-09-22 \|sprache=de \|abruf=2025-08-06}}</ref><ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref> Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.<ref>{{Internetquelle \|url=https://msrc.microsoft.com/blog/2012/08/weaknesses-in-ms-chapv2-authentication/ \|titel=Weaknesses in MS-CHAPv2 authentication \|werk=MSRC Blog \|hrsg=Microsoft Security Response Center \|abruf=2025-08-06}}</ref>

	Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2<v>56</sup> möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref>		Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2<sup>56</sup> möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle \|url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html \|titel=Microsoft warnt vor PPTP und MS-CHAP \|hrsg=heise online \|datum=2012-08-21 \|sprache=de \|abruf=2025-08-06}}</ref>

	Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von „Windows Defender Credential Guard“ nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS\|EAP-TLS]]).<ref>{{Internetquelle \|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations \|titel=Considerations when using Windows Defender Credential Guard \|werk=learn.microsoft.com \|hrsg=Windows Security \|datum=2023-01-27 \|abruf=}}</ref>		Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von „Windows Defender Credential Guard“ nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS\|EAP-TLS]]).<ref>{{Internetquelle \|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations \|titel=Considerations when using Windows Defender Credential Guard \|werk=learn.microsoft.com \|hrsg=Windows Security \|datum=2023-01-27 \|abruf=}}</ref>

← Nächstältere Version		Version vom 2. Februar 2025, 14:29 Uhr
Zeile 18:		Zeile 18:
	Weaknesses have been identified in MS-CHAP and MS-CHAPv2.<ref>{{Cite web \|url=http://www.schneier.com/paper-pptpv2.pdf \|title=Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first1=Bruce \|last1=Schneier \|authorlink1=Bruce Schneier \|author2=Mudge \|first3=David \|last3=Wagner \|website=schneier.com \|date=19 October 1999 }}</ref> The [[Data Encryption Standard\|DES]] encryption used in NTLMv1 and MS-CHAPv2 to encrypt the [[NTLM]] password hash enable custom hardware attacks utilizing the method of brute force.<ref>{{Cite web \|url=http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf \|title=Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first=Jochen \|last=Eisinger \|date=23 July 2001 \|website=penguin-breeder.org}}</ref>		Weaknesses have been identified in MS-CHAP and MS-CHAPv2.<ref>{{Cite web \|url=http://www.schneier.com/paper-pptpv2.pdf \|title=Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first1=Bruce \|last1=Schneier \|authorlink1=Bruce Schneier \|author2=Mudge \|first3=David \|last3=Wagner \|website=schneier.com \|date=19 October 1999 }}</ref> The [[Data Encryption Standard\|DES]] encryption used in NTLMv1 and MS-CHAPv2 to encrypt the [[NTLM]] password hash enable custom hardware attacks utilizing the method of brute force.<ref>{{Cite web \|url=http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf \|title=Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first=Jochen \|last=Eisinger \|date=23 July 2001 \|website=penguin-breeder.org}}</ref>

	As of 2012, MS-CHAP had been completely broken. The divide-and-conquer attack only requires breaking a single DES key, which is not difficult with modern [[GPU]]s and [[FPGA]]s.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref> MS-CHAP as a whole can be viewed as a smoke and mirrors protocol, in that ~80% of the protocol provides no real security; it just makes the construction very complicated and thus appear infeasible to crack. In reality, this ~80% is either plaintext messages, or messages easily derived from those sent in plaintext. The actual security core is reduced to the NTLM password hash and DES encryptions keyed by the hash output, which is fundamentally weak.		As of 2012, MS-CHAP had been completely broken. The divide-and-conquer attack only requires breaking a single DES key, which is not difficult with modern [[GPU]]s and [[FPGA]]s.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref> MS-CHAP as a whole can be viewed as a smoke-and-mirrors protocol, in that ~80% of the protocol provides no real security; it just makes the construction very complicated and thus appear infeasible to crack. In reality, this ~80% is either plaintext messages, or messages easily derived from those sent in plaintext. The actual security core is reduced to the NTLM password hash and DES encryptions keyed by the hash output, which is fundamentally weak.

	After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>		After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>

← Nächstältere Version		Version vom 2. Februar 2025, 14:15 Uhr
Zeile 18:		Zeile 18:
	Weaknesses have been identified in MS-CHAP and MS-CHAPv2.<ref>{{Cite web \|url=http://www.schneier.com/paper-pptpv2.pdf \|title=Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first1=Bruce \|last1=Schneier \|authorlink1=Bruce Schneier \|author2=Mudge \|first3=David \|last3=Wagner \|website=schneier.com \|date=19 October 1999 }}</ref> The [[Data Encryption Standard\|DES]] encryption used in NTLMv1 and MS-CHAPv2 to encrypt the [[NTLM]] password hash enable custom hardware attacks utilizing the method of brute force.<ref>{{Cite web \|url=http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf \|title=Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first=Jochen \|last=Eisinger \|date=23 July 2001 \|website=penguin-breeder.org}}</ref>		Weaknesses have been identified in MS-CHAP and MS-CHAPv2.<ref>{{Cite web \|url=http://www.schneier.com/paper-pptpv2.pdf \|title=Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first1=Bruce \|last1=Schneier \|authorlink1=Bruce Schneier \|author2=Mudge \|first3=David \|last3=Wagner \|website=schneier.com \|date=19 October 1999 }}</ref> The [[Data Encryption Standard\|DES]] encryption used in NTLMv1 and MS-CHAPv2 to encrypt the [[NTLM]] password hash enable custom hardware attacks utilizing the method of brute force.<ref>{{Cite web \|url=http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf \|title=Exploiting known security holes in Microsoft's PPTP Authentication Extensions (MS-CHAPv2) \|first=Jochen \|last=Eisinger \|date=23 July 2001 \|website=penguin-breeder.org}}</ref>

	As of 2012, MS-CHAP had been completely broken.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref>		As of 2012, MS-CHAP had been completely broken. The divide-and-conquer attack only requires breaking a single DES key, which is not difficult with modern [[GPU]]s and [[FPGA]]s.<ref>{{cite web\|url=https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|title=Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate\|year=2012\|publisher=[[DEF CON\|David Hulton]]\|archive-url=https://web.archive.org/web/20160316174007/https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/\|archive-date=16 March 2016\|access-date=2013-03-10}}</ref> MS-CHAP as a whole can be viewed as a smoke and mirrors protocol, in that ~80% of the protocol provides no real security; it just makes the construction very complicated and thus appear infeasible to crack. In reality, this ~80% is either plaintext messages, or messages easily derived from those sent in plaintext. The actual security core is reduced to the NTLM password hash and DES encryptions keyed by the hash output, which is fundamentally weak.

	After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>		After [[Windows 11]] 22H2, with the default activation of Windows Defender Credential Guard, users can no longer authenticate with MSCHAPv2. The developers recommend a move from MSCHAPv2-based connections to certificate-based authentication (such as PEAP-TLS or [[Extensible_Authentication_Protocol#EAP-TLS\|EAP-TLS]]).<ref>{{Cite web\|url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations\|title=Considerations when using Windows Defender Credential Guard - Windows Security\|date=January 27, 2023\|website=learn.microsoft.com}}</ref>