Zum Inhalt springen

„MS-CHAP“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][gesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →

Invisigoth67 (Diskussion | Beiträge)

4 Benutzergruppen
998.035 Bearbeitungen
rückgängig
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
K 100 Versionen von en:MS-CHAP importiert: WP:IMP * user:Luke081515Bot
K form
Zeile 3: Zeile 3:


== Versionen ==
== Versionen ==
Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in [[Request for Comments|RFC]] [https://www.rfc-editor.org/rfc/rfc2433 2433]) und MS-CHAPv2 (definiert in [[Request for Comments|RFC]] [https://www.rfc-editor.org/rfc/rfc2759 2759]). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in [[Microsoft Windows NT|Windows NT]] 4.0 SP4 enthalten war und zu [[Microsoft Windows 98|Windows 98]] im "Windows 98 Dial-Up Networking Security Upgrade Release"<ref>{{cite web |title=Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998) |date=August 1998 |publisher=Microsoft |url=https://support.microsoft.com/en-us/kb/189771 |website=Support}}</ref> und zu [[Microsoft Windows 95|Windows 95]] im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit [[Microsoft Windows Vista|Windows Vista]] stellte Microsoft die Unterstützung für MS-CHAPv1 ein.
Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in [[Request for Comments|RFC]] [https://www.rfc-editor.org/rfc/rfc2433 2433]) und MS-CHAPv2 (definiert in [[Request for Comments|RFC]] [https://www.rfc-editor.org/rfc/rfc2759 2759]). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in [[Microsoft Windows NT|Windows NT]] 4.0 SP4 enthalten war und zu [[Microsoft Windows 98|Windows 98]] im "Windows 98 Dial-Up Networking Security Upgrade Release"<ref>{{cite web |title=Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998) |date=1998-08 |publisher=Microsoft |url=https://support.microsoft.com/en-us/kb/189771 |website=Support}}</ref> und zu [[Microsoft Windows 95|Windows 95]] im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit [[Microsoft Windows Vista|Windows Vista]] stellte Microsoft die Unterstützung für MS-CHAPv1 ein.


== Anwendungen ==
== Anwendungen ==
MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol|PPTP]]-Protokolls für [[Virtual Private Network|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>[[rfc:2548|''Microsoft Vendor-specific RADIUS Attributes''.]]
MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des [[Point-to-Point Tunneling Protocol|PPTP]]-Protokolls für [[Virtual Private Network|virtuelle private Netzwerke (VPNs)]]. Es wird auch als Authentifizierungsoption mit [[RADIUS]]-Servern<ref>[[rfc:2548|''Microsoft Vendor-specific RADIUS Attributes''.]]


[[Digital Object Identifier|doi]]:[[doi:10.17487/RFC2548|10.17487/RFC2548]]. [[Request for Comments|RFC]] [[rfc:2548|2548]].</ref> die mit [[Institute of Electrical and Electronics Engineers|IEEE]] [[IEEE 802.1X|802.1X]] eingesetzt werden (z.B. [[Wi-Fi|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[:en:Protected_Extensible_Authentication_Protocol|Protected Extensible Authentication Protocol (PEAP)]] verwendet.
[[Digital Object Identifier|doi]]:[[doi:10.17487/RFC2548|10.17487/RFC2548]]. [[Request for Comments|RFC]] [[rfc:2548|2548]].</ref> die mit [[Institute of Electrical and Electronics Engineers|IEEE]] [[IEEE 802.1X|802.1X]] eingesetzt werden (z.&nbsp;B. [[Wi-Fi|WiFi]]-Sicherheit mit dem [[Wi-Fi Protected Access|WPA-Enterprise-Protokoll]]). Des Weiteren wird es als die Hauptauthentifizierungsoption des [[:en:Protected_Extensible_Authentication_Protocol|Protected Extensible Authentication Protocol (PEAP)]] verwendet.


== Features ==
== Features ==
Im Vergleich zu CHAP<ref>''[[rfc:1994|PPP Challenge Handshake Authentication Protocol (CHAP)]]''. [[Digital Object Identifier|doi]]:[[doi:10.17487/RFC2548|10.17487/RFC1994]]. [[Request for Comments|RFC]] [[rfc:1994|1994]].</ref> funktioniert MS-CHAP<ref>''[[rfc:2433|Microsoft PPP CHAP Extensions]]''. [[Digital Object Identifier|doi]]:[[doi:10.17487/RFC2433|10.17487/RFC2433]]. [[Request for Comments|RFC]] [[rfc:2433|2433]].</ref><ref>[[rfc:2759|''Microsoft PPP CHAP Extensions, Version 2''.]] [[Digital Object Identifier|doi]]:[[doi:10.17487/RFC2759|10.17487/RFC2759]]. [[Request for Comments|RFC]] [[rfc:2759|2759]].</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.
Im Vergleich zu CHAP<ref>''[[rfc:1994|PPP Challenge Handshake Authentication Protocol (CHAP)]]''. [[Digital Object Identifier|doi]]:[[doi:10.17487/RFC2548|10.17487/RFC1994]]. [[Request for Comments|RFC]] [[rfc:1994|1994]].</ref> funktioniert MS-CHAP<ref>''[[rfc:2433|Microsoft PPP CHAP Extensions]]''. [[Digital Object Identifier|doi]]:[[doi:10.17487/RFC2433|10.17487/RFC2433]]. [[Request for Comments|RFC]] [[rfc:2433|2433]].</ref><ref>[[rfc:2759|''Microsoft PPP CHAP Extensions, Version 2''.]] [[Digital Object Identifier|doi]]:[[doi:10.17487/RFC2759|10.17487/RFC2759]]. [[Request for Comments|RFC]] [[rfc:2759|2759]].</ref> folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.
[[Datei:MSCHAPv2_Flow.pdf|mini|Ablauf eines MSCHAPv2 Flusses]]
[[Datei:MSCHAPv2 Flow.pdf|mini|Ablauf eines MSCHAPv2 Flusses]]
MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.
MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.


Zeile 24: Zeile 24:
Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2^56 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html |titel=Microsoft warnt vor PPTP und MS-CHAP |datum=2012-08-21 |sprache=de |abruf=2025-08-06}}</ref>
Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2^56 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.<ref>{{Internetquelle |autor=heise online |url=https://www.heise.de/news/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html |titel=Microsoft warnt vor PPTP und MS-CHAP |datum=2012-08-21 |sprache=de |abruf=2025-08-06}}</ref>


Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von "Windows Defender Credential Guard" nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS|EAP-TLS]]).<ref>{{Cite web |title=Considerations when using Windows Defender Credential Guard - Windows Security |date=2023-01-27 |url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations |website=learn.microsoft.com}}</ref>

Nach [[Windows 11]] 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von "Windows Defender Credential Guard" nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder [[Extensible Authentication Protocol#TLS|EAP-TLS]]).<ref>{{Cite web |title=Considerations when using Windows Defender Credential Guard - Windows Security |date=January 27, 2023 |url=https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-considerations |website=learn.microsoft.com}}</ref>


== Siehe auch ==
== Siehe auch ==

Version vom 7. August 2025, 08:01 Uhr

MS-CHAP ist die Microsoft-Version des Challenge-Handshake Authentication Protocol (CHAP).

Versionen

Das Protokoll existiert in zwei Versionen: MS-CHAPv1 (definiert in RFC 2433) und MS-CHAPv2 (definiert in RFC 2759). MS-CHAPv2 wurde mit pptp3-fix eingeführt, das in Windows NT 4.0 SP4 enthalten war und zu Windows 98 im "Windows 98 Dial-Up Networking Security Upgrade Release"[1] und zu Windows 95 im "Dial Up Networking 1.3 Performance & Security Update for MS Windows 95" Upgrade hinzugefügt wurde. Mit Windows Vista stellte Microsoft die Unterstützung für MS-CHAPv1 ein.

Anwendungen

MS-CHAP wird als eine Authentifizierungsoption in Microsofts Implementierung des PPTP-Protokolls für virtuelle private Netzwerke (VPNs). Es wird auch als Authentifizierungsoption mit RADIUS-Servern[2] die mit IEEE 802.1X eingesetzt werden (z. B. WiFi-Sicherheit mit dem WPA-Enterprise-Protokoll). Des Weiteren wird es als die Hauptauthentifizierungsoption des Protected Extensible Authentication Protocol (PEAP) verwendet.

Features

Im Vergleich zu CHAP[3] funktioniert MS-CHAP[4][5] folgendermaßen: es arbeitet durch Aushandlung des CHAP-Algorithmus 0x80 (0x81 für MS-CHAPv2) in der LCP-Option 3, Authentifizierungsprotokoll. Es bietet einen vom Authentifikator kontrollierten Passwort-Änderungsmechanismus. Es bietet einen vom Authentifikator kontrollierten Authentifizierungs-Wiederholungsmechanismus und definiert Fehlercodes, die im Nachrichtenfeld des Failure-Pakets zurückgegeben werden.

Ablauf eines MSCHAPv2 Flusses

MS-CHAPv2 ermöglicht die gegenseitige Authentifizierung zwischen Peers, indem es eine Peer-Anforderung an das Antwortpaket und eine Authentifizierungsantwort an das "success packet" anhängt.

MS-CHAP erfordert, dass jeder Peer entweder das Klartext-Passwort oder einen MD4-Hash des Passworts kennt, und überträgt das Passwort nicht über die Verbindung. Daher ist es mit den meisten Passwortspeicherformaten nicht kompatibel.

Sicherheitsprobleme

Die Authentifizierung mit MS-CHAPv2 gilt bereits seit längerer Zeit als geknackt, wird aber in bestimmten Szenarien mit Windows-Computern immer noch eingesetzt.[6] Microsoft weist darauf hin, dass Organisationen, die MS-CHAP v2 ohne Kapselung in Verbindung mit PPTP-Tunneln verwenden, eine potenziell unsichere Konfiguration nutzen.[7]

Im Juli 2012 gab der Online-Dienst CloudCracker bekannt, VPN- und WLAN-Verbindungen, die auf MS-CHAPv2 basieren, innerhalb von 24 Stunden knacken zu können.[8][9][10] Der Brute-Force-Angriff gelingt dabei über Parallelisierung und speziell abgestimmte Hardware. Ein Durchbruch von Moxie Marlinspike reduzierte die Sicherheit von MS-CHAPv2 auf eine einzige DES-Verschlüsselung (2^56) unabhängig von der Passwortlänge.[11]

Das Grundproblem liegt darin, dass MS-CHAP v2 auf eine vermischte Kombination dreier DES-Operationen setzt. Diese lässt sich durch Durchprobieren aller 2^56 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist.[12]

Nach Windows 11 22H2 können sich Benutzer mit der standardmäßigen Aktivierung von "Windows Defender Credential Guard" nicht mehr mit MSCHAPv2 authentifizieren. Die Entwickler empfehlen einen Wechsel von MSCHAPv2-basierten Verbindungen zu zertifikatbasierter Authentifizierung (wie PEAP-TLS oder EAP-TLS).[13]

Siehe auch

Einzelnachweise

  1. Windows 98 Dial-Up Networking Security Upgrade Release Notes (August 1998). In: Support. Microsoft, August 1998;.
  2. Microsoft Vendor-specific RADIUS Attributes. doi:10.17487/RFC2548. RFC 2548.
  3. PPP Challenge Handshake Authentication Protocol (CHAP). doi:10.17487/RFC1994. RFC 1994.
  4. Microsoft PPP CHAP Extensions. doi:10.17487/RFC2433. RFC 2433.
  5. Microsoft PPP CHAP Extensions, Version 2. doi:10.17487/RFC2759. RFC 2759.
  6. MS-CHAPv2 - Microsoft CHAP. Abgerufen am 6. August 2025.
  7. Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft-PPTP-VPNs - Microsoft-Support. Abgerufen am 6. August 2025.
  8. heise online: Microsoft warnt vor PPTP und MS-CHAP. 21. August 2012, abgerufen am 6. August 2025.
  9. heise online: Der Todesstoß für PPTP. 22. September 2012, abgerufen am 6. August 2025.
  10. Weaknesses in MS-CHAPv2 authentication | MSRC Blog | Microsoft Security Response Center. Abgerufen am 6. August 2025.
  11. Weaknesses in MS-CHAPv2 authentication | MSRC Blog | Microsoft Security Response Center. Abgerufen am 6. August 2025.
  12. heise online: Microsoft warnt vor PPTP und MS-CHAP. 21. August 2012, abgerufen am 6. August 2025.
  13. Considerations when using Windows Defender Credential Guard - Windows Security. In: learn.microsoft.com. 27. Januar 2023;.
Abgerufen von „https://de.wikipedia.org/w/index.php?title=MS-CHAP&oldid=258660873