Zum Inhalt springen

„Diskussion:Challenge Handshake Authentication Protocol“ – Versionsunterschied

Seiteninhalte werden in anderen Sprachen nicht unterstützt.
aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 16 Jahren von Klinsebaer in Abschnitt Begründung für die Verwendung der Challenge
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
Keine Bearbeitungszusammenfassung
Klinsebaer (Diskussion | Beiträge)
19 Bearbeitungen
Keine Bearbeitungszusammenfassung
Zeile 9: Zeile 9:
Aus dem Artikel wird meiner Meinung nach nicht klar, warum die Challenge verwendet wird. Meinem Verständnis nach müsste es doch reichen, das Passwort als MD5-Hash an den Server zu übertragen, der dieses mit einem MD5-Hash des gespeicherten Passworts vergleicht.
Aus dem Artikel wird meiner Meinung nach nicht klar, warum die Challenge verwendet wird. Meinem Verständnis nach müsste es doch reichen, das Passwort als MD5-Hash an den Server zu übertragen, der dieses mit einem MD5-Hash des gespeicherten Passworts vergleicht.
Bringt die Challenge zusätzliche Sicherheit, wenn sie im Klartext übertragen wird? Wird dadurch der Rückschluss auf das Passwort (bspws. mittels Rainbow-Table) schwieriger?
Bringt die Challenge zusätzliche Sicherheit, wenn sie im Klartext übertragen wird? Wird dadurch der Rückschluss auf das Passwort (bspws. mittels Rainbow-Table) schwieriger?

Ja, CHAP bringt mehr Sicherheit, denn durch die Zufallszahl wird quasi ein Einmalpasswort erzeugt. Ein MD5-verschlüsseltes Passwort schützt nur das Passwort im Klartext, aber man kann sich ja, einmal abgehört, problemlos mit dem MD5-Passwort einloggen, wenn der Server das erwartet. --[[Benutzer:Klinsebaer|Klinsebaer]] 10:32, 24. Jun. 2008 (CEST)

Version vom 24. Juni 2008, 10:32 Uhr

Man-in-the-Middle

Letzter Kommentar: vor 17 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Die beschriebene Variante ist eine Kombination aus MitM und Downgrade Attack --80.136.96.43 16:01, 12. Aug. 2007 (CEST)Beantworten

Verweis auf http://www.tcp-ip-info.de/security/chap.htm

Diesen Verweis halte ich für sehr unglücklich. Denn die Beschreibung von CHAP auf dieser Seite ist an mehreren Stellen sachlich falsch.

Begründung für die Verwendung der Challenge

Letzter Kommentar: vor 16 Jahren1 Kommentar1 Person ist an der Diskussion beteiligt

Aus dem Artikel wird meiner Meinung nach nicht klar, warum die Challenge verwendet wird. Meinem Verständnis nach müsste es doch reichen, das Passwort als MD5-Hash an den Server zu übertragen, der dieses mit einem MD5-Hash des gespeicherten Passworts vergleicht. Bringt die Challenge zusätzliche Sicherheit, wenn sie im Klartext übertragen wird? Wird dadurch der Rückschluss auf das Passwort (bspws. mittels Rainbow-Table) schwieriger?

Ja, CHAP bringt mehr Sicherheit, denn durch die Zufallszahl wird quasi ein Einmalpasswort erzeugt. Ein MD5-verschlüsseltes Passwort schützt nur das Passwort im Klartext, aber man kann sich ja, einmal abgehört, problemlos mit dem MD5-Passwort einloggen, wenn der Server das erwartet. --Klinsebaer 10:32, 24. Jun. 2008 (CEST)Beantworten

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Diskussion:Challenge_Handshake_Authentication_Protocol&oldid=47604248