„Diskussion:Challenge Handshake Authentication Protocol“ – Versionsunterschied
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 11: | Zeile 11: | ||
Ja, CHAP bringt mehr Sicherheit, denn durch die Zufallszahl wird quasi ein Einmalpasswort erzeugt. Ein MD5-verschlüsseltes Passwort schützt nur das Passwort im Klartext, aber man kann sich ja, einmal abgehört, problemlos mit dem MD5-Passwort einloggen, wenn der Server das erwartet. --[[Benutzer:Klinsebaer|Klinsebaer]] 10:32, 24. Jun. 2008 (CEST) |
Ja, CHAP bringt mehr Sicherheit, denn durch die Zufallszahl wird quasi ein Einmalpasswort erzeugt. Ein MD5-verschlüsseltes Passwort schützt nur das Passwort im Klartext, aber man kann sich ja, einmal abgehört, problemlos mit dem MD5-Passwort einloggen, wenn der Server das erwartet. --[[Benutzer:Klinsebaer|Klinsebaer]] 10:32, 24. Jun. 2008 (CEST) |
||
== Hashen von Passwörtern/Shared Secrets wird durch CHAP NICHT unterstützt == |
|||
Der im Text enthaltene Hinweis, man könne es vermeiden, Shared Secrets im Klartext auf Servern zu speichern, ist m.E. falsch. Wenn sich Client und Server nicht einig sind darüber, dass das Shared Secret gehasht werden muss, um Challenge und Response zu berechnen, dann funktioniert das beschriebene Verfahren nicht. Und in der CHAP-Spezifikation ist diese Option nicht vorgesehen, Client und Server würden also etwas proprietäres, nicht-standardisiertes tun. Im übrigen wäre das Verfahren insofern witzlos, als dass lediglich auf beiden Seiten ein Shared Secret durch seinen Hash-Wert ersetzt würde. |
|||
Version vom 17. August 2014, 15:25 Uhr
Man-in-the-Middle
Die beschriebene Variante ist eine Kombination aus MitM und Downgrade Attack --80.136.96.43 16:01, 12. Aug. 2007 (CEST)
Verweis auf http://www.tcp-ip-info.de/security/chap.htm
Diesen Verweis halte ich für sehr unglücklich. Denn die Beschreibung von CHAP auf dieser Seite ist an mehreren Stellen sachlich falsch.
Begründung für die Verwendung der Challenge
Aus dem Artikel wird meiner Meinung nach nicht klar, warum die Challenge verwendet wird. Meinem Verständnis nach müsste es doch reichen, das Passwort als MD5-Hash an den Server zu übertragen, der dieses mit einem MD5-Hash des gespeicherten Passworts vergleicht. Bringt die Challenge zusätzliche Sicherheit, wenn sie im Klartext übertragen wird? Wird dadurch der Rückschluss auf das Passwort (bspws. mittels Rainbow-Table) schwieriger?
Ja, CHAP bringt mehr Sicherheit, denn durch die Zufallszahl wird quasi ein Einmalpasswort erzeugt. Ein MD5-verschlüsseltes Passwort schützt nur das Passwort im Klartext, aber man kann sich ja, einmal abgehört, problemlos mit dem MD5-Passwort einloggen, wenn der Server das erwartet. --Klinsebaer 10:32, 24. Jun. 2008 (CEST)
Hashen von Passwörtern/Shared Secrets wird durch CHAP NICHT unterstützt
Der im Text enthaltene Hinweis, man könne es vermeiden, Shared Secrets im Klartext auf Servern zu speichern, ist m.E. falsch. Wenn sich Client und Server nicht einig sind darüber, dass das Shared Secret gehasht werden muss, um Challenge und Response zu berechnen, dann funktioniert das beschriebene Verfahren nicht. Und in der CHAP-Spezifikation ist diese Option nicht vorgesehen, Client und Server würden also etwas proprietäres, nicht-standardisiertes tun. Im übrigen wäre das Verfahren insofern witzlos, als dass lediglich auf beiden Seiten ein Shared Secret durch seinen Hash-Wert ersetzt würde.